Por qué un enfoque de privacidad por diseño funciona para los catálogos de datos
Corporación Actian
11 de abril de 2022
Desde principios del siglo XXI estamos viviendo una auténtica revolución digital. El mundo se digitaliza constantemente y la actividad humana se estructura cada vez más en torno a los datos y los servicios de red. La industria manufacturera, el ocio, la administración, los servicios, la medicina y tantas otras industrias se organizan ahora en torno a sistemas de información complejos e interconectados. Como resultado, los dispositivos y tecnologías presentes en nuestra vida cotidiana (Web, Smartphone, IoT) recogen cada vez más datos y los transmiten de un sistema a otro. Se ha convertido en algo fundamental para cualquier empresa que ofrezca productos o servicios hacer todo lo posible para proteger los datos de sus clientes. El mejor enfoque para hacerlo es a través de Privacy by Design.
En este artículo, explicamos qué es la Privacidad por Diseño, cómo aplicamos este enfoque en el diseño de nuestro catálogo de datos, así como el modo en que un catálogo de datos puede ayudar a las empresas a implantar la Privacidad por Diseño.
Protección de datos: Una cuestión clave para las empresas
Entre todos los datos mencionados anteriormente, algunos permiten la identificación directa o indirecta de personas físicas. Son los llamados datos personales, según la definición de la CNIL. Su importancia es capital en el mundo moderno por su valor intrínseco.
A diario, enormes volúmenes de datos personales circulan entre particulares, empresas y gobiernos. Existe un riesgo real de que se haga un uso indebido de ellos, como demostró, por ejemplo, el escándalo de Cambridge Analytica en 2015 . Los ciberdelincuentes también pueden obtener importantes beneficios de ellos, a través del pirateo de cuentas, la reventa de datos a otros ciberdelincuentes, la usurpación de identidad o el ataque a empresas mediante phishing o estafas presidenciales. Por ejemplo, a un promotor inmobiliario le robaron recientemente varias decenas de millones de euros en Francia.
La necesidad de proteger los datos nunca ha sido tan importante.
Los Estados han tomado rápidamente conciencia de esta cuestión para proteger a las personas de los abusos relacionados con la explotación de sus datos. En Europa, por ejemplo, el GDPR (el Reglamento General de Protección de Datos) está en vigor desde 2016 y ya está bien implantado en la actividad diaria de las empresas. En el resto del mundo, la normativa evoluciona constantemente y preocupa en casi todos los países. Recientemente, California aprobó una ley de privacidad de datos de los consumidores, un equivalente estadounidense del GDPR. Incluso China acaba de legislar sobre este tema.
Privacidad desde el diseño: Definición de un concepto clave para la protección de datos
Aunque muchas legislaciones se basan en gran medida en la noción de Privacidad por Diseño, ésta fue conceptualizada por Ann Cavoukian a finales de la década de 1990, cuando era Comisaria de Información y Privacidad de la provincia de Ontario, en Canadá. La esencia de esta idea es incluir la cuestión de la protección de datos personales desde el diseño de un sistema informático.
En este sentido, Privacy by Design enumera siete principios fundamentales:
Proactividad: Toda empresa debe establecer las disposiciones necesarias para la protección de datos en una fase previa, y no debe basarse en una política reactiva;
Protección de datos personales por defecto: Todo sistema debe adoptar como configuración por defecto el mayor nivel posible de protección de los datos sensibles de sus usuarios;
Privacidad desde el diseño: La privacidad debe ser un aspecto sistemáticamente estudiado y considerado en el diseño e implementación de nuevas funcionalidades;
Funcionalidad total: No se deben hacer concesiones con los protocolos de seguridad ni con la experiencia del usuario;
Seguridad de extremo a extremo: El sistema debe garantizar la seguridad de los datos a lo largo de todo su ciclo de vida, desde su recogida hasta su destrucción (incluso si los datos se externalizan);
Visibilidad y transparencia: El sistema y la empresa deben documentar y comunicar los procedimientos de protección de datos personales y las medidas adoptadas de forma clara, coherente y transparente;
Respeto de la intimidad del usuario: Cada decisión de diseño e implementación debe tomarse teniendo como centro el interés del usuario.
Aplicación de la privacidad desde el diseño
Hemos construido nuestro producto sobre los cimientos de la Privacidad por Diseño.
Tratamiento de los datos personales de los usuarios
En primer lugar, hemos anclado la protección de datos en el corazón de nuestra arquitectura. Cada uno de los datos de nuestros clientes está segregado en diferentes inquilinos, cada uno cifrado con su propia clave. La autenticación de usuarios se gestiona a través de un sistema especializado de terceros. Fomentamos la federación de identidades entre nuestros clientes, lo que les permite mantener el control sobre los datos necesarios para la identificación y autenticación de los usuarios.
También hemos incluido el concepto de Privacidad por Diseño en el diseño de nuestra aplicación. Por ejemplo, sólo recopilamos el mínimo de información, todas las salidas del sistema son anónimas (registros, errores de aplicación, API).
Tratamiento de datos comerciales de clientes
Siendo nuestra principal misión documentar los datos, nuestra solución contiene por esencia metadatos. Por diseño, la plataforma Actian Data Intelligence no extrae ningún dato de los sistemas de nuestros clientes. De hecho, el riesgo es intrínsecamente menor en los metadatos que en los datos.
No obstante, ofrecemos dentro de la plataforma varias funcionalidades que nos permiten proporcionar información sobre los datos presentes en los sistemas del cliente (estadísticas, muestreo, etc.). Gracias a nuestra arquitectura, los cálculos se realizan siempre en la infraestructura del cliente, lo más cerca posible de los datos y de su seguridad. Y en cumplimiento del principio nº 2 de Privacy by Design, hemos establecido por defecto la protección de los datos personales. Así, todas estas características están desactivadas por defecto y sólo pueden ser activadas por el cliente.
Cómo ayuda nuestro catálogo de datos a las empresas a implantar la privacidad desde el diseño
Nuestro catálogo de datos puede ayudar a su empresa a implantar la privacidad desde el diseño, especialmente en los aspectos de control y verificación. Tomando los 7 principios descritos anteriormente, el catálogo de datos puede participar eficazmente en dos de ellos: el principio de visibilidad y transparencia, y el principio de seguridad de extremo a extremo. El catálogo de datos también permite automatizar la identificación de datos sensibles.
Visibilidad y transparencia a través del catálogo de datos
El objetivo de un catálogo de datos es centralizar los activos de datos de una empresa, documentarlos y compartirlos con el mayor número de personas posible. Esta centralización permite a cada empleado saber qué datos recopila el CRM, y a los equipos de marketing y éxito del cliente procesar esta información en los informes de seguimiento de captación y rotación.
Una vez establecido este inventario, el catálogo puede utilizarse para documentar cierta información adicional necesaria para el buen funcionamiento de la empresa. Es el caso, en particular, del carácter sensible o no de la información documentada, las normas de gobernanza, el tratamiento o los procedimientos de acceso que deben aplicarse.
En el contexto de un enfoque de Privacidad por Diseño, el catálogo de datos puede utilizarse para añadir un término de negocio correspondiente a los datos sensibles (un número de la seguridad social, un número de teléfono, etc.). Este término de negocio puede entonces asociarse fácilmente a las tablas o campos físicos que contienen los datos, permitiendo así su fácil identificación. Esta iniciativa contribuye al principio de visibilidad y transparencia de Privacy by Design.
Seguridad integral a través del catálogo de datos
El catálogo de datos también ofrece funciones de linaje de datos. El linaje automático de datos garantiza que los procesos aplicados a los datos identificados como sensibles cumplen con lo definido por la gobernanza de datos de la empresa. Con el catálogo de datos, resulta sencillo rellenar las reglas de gobernanza que deben aplicarse a los datos sensibles.
Además, el linaje permite seguir todo el ciclo de vida de los datos, desde su creación hasta su uso final, pasando por sus transformaciones. Esto facilita la comprobación de que todas las etapas de este ciclo de vida cumplen las normas y la corrección de posibles errores.
El catálogo de datos, a través del linaje de datos, contribuye así al principio de seguridad de extremo a extremo de Privacy by Design.
Dicho esto, seguimos convencidos de que un catálogo de datos no es una solución de conformidad, sino más bien una herramienta para la aculturación de los equipos a los datos sensibles y sus particularidades de uso.
Identificación dedatos sensibles mediante el catálogo de datos
En un entorno de datos en rápida evolución, el catálogo de datos debe reflejar la realidad en la medida de lo posible para mantener la confianza de sus usuarios. Sin ello, toda la adopción del proyecto de catálogo de datos queda en entredicho.
Estamos firmemente convencidos de que el catálogo de datos debe automatizarse al máximo para ser escalable y eficiente. Esto empieza por el inventario de los datos disponibles. En este sentido, nuestro inventario está automatizado y se encarga de pasar todas las modificaciones del sistema original (fuente) de los datos directamente al catálogo. Así, en todo momento, el cliente dispone de una lista exhaustiva de los datos presentes en sus sistemas.
Y para ayudar a nuestros clientes a identificar cuáles de los datos inventariados merecen un tratamiento especial por su condición de datos sensibles, la automatización no se detiene en el inventario. Ahora ofrecemos un sistema que sugiere el etiquetado de los nuevos datos inventariados con un perfil de datos sensibles. Esto facilita que estos datos pasen a primer plano y que la información se difunda más rápida y fácilmente por toda la empresa.
Conclusión
En los últimos años, los datos personales se han convertido en una verdadera preocupación para la mayoría de los consumidores. Cada vez son más los países que establecen normativas para garantizar a sus ciudadanos la máxima protección. Uno de los grandes principios que rigen todas estas normativas es la Privacidad por Diseño.
Desde el principio hemos incluido la reflexión en torno a los datos personales en el núcleo de nuestro producto. Tanto en nuestro desarrollo técnico como en el tratamiento de los datos de nuestros usuarios, así como en nuestra reflexión sobre los datos que nuestros clientes tratan a través de nuestro catálogo.
Creemos que un catálogo de datos puede ser un activo importante en la aplicación y el seguimiento de las políticas de privacidad por diseño. También confiamos plenamente en la automatización y la IA para aportar muchas más mejoras en los próximos meses: construcción automática del linaje de datos técnicos, mejor detección de datos sensibles en los objetos del catálogo para documentarlos mejor, control de calidad de los procesos aplicados a los datos sensibles, etc. Las posibilidades son numerosas.
Para saber más sobre las ventajas del catálogo en la gestión de sus datos sensibles y personales, no dude en concertar una reunión con uno de nuestros expertos.
Suscríbase al blog de Actian
Suscríbase al blog de Actian para recibir información sobre datos directamente en su correo electrónico.
- Manténgase informado: reciba lo último en análisis de datos directamente en su bandeja de entrada.
- No se pierda ni una publicación: recibirá actualizaciones automáticas por correo electrónico que le avisarán cuando se publiquen nuevas publicaciones.
- Todo depende de usted: cambie sus preferencias de entrega para adaptarlas a sus necesidades.