Errores y mitos en el tratamiento de datos personales
Con la implementación de la Ley General de Protección de Datos (LGPD), el debate sobre la seguridad de los datos personales comenzó a ganar mayor importancia en los sectores que manejan información sensible de los usuarios. Desde la aprobación de las nuevas normativas, tanto la legislación como la divulgación y disponibilidad de servicios han recibido más atención para facilitar la implementación de estas reglas. Sin embargo, a pesar de que el tema ha ingresado en la esfera pública, aún persisten muchas dudas por resolver.
Pensando en esto, CBL Tech ha reunido algunos mitos sobre la seguridad de los datos para esclarecer y desmitificar las nociones comunes que rodean esta discusión. Además, el contenido también presentará consejos relevantes para que las empresas adopten en su dinámica de trabajo.
Al fin y al cabo, ¿qué puede considerarse un dato?
Antes que nada, vale la pena preguntarse: ¿qué son los datos personales? La respuesta es simple: cualquier información que permita identificar, directa o indirectamente, a un individuo. Esto incluye números de CPF, matrículas de automóviles, fechas de nacimiento e incluso fotografías, direcciones IP y localizaciones vía GPS. Esta categoría se divide en otras dos: datos sensibles y datos anonimizados.
Los datos sensibles abarcan aspectos como origen racial o étnico, creencias religiosas, opiniones políticas e información sobre la salud, datos biométricos o relacionados con la vida sexual. La segunda categoría, la de datos anónimos, incluye información que no puede identificar a un individuo porque ha sido sometida a procesos técnicos para desvincularla de una persona.
Aquí surge una cuestión delicada, ya que una de estas categorías mencionadas no se limita a la anonimización de información. Esta práctica abarca una serie de acciones como la recopilación, uso, transmisión, almacenamiento y eliminación de información en general. En este sentido, los cuidados que una empresa debe tener respecto a la conservación de los datos son esenciales, desde su extracción hasta su eliminación.
Mitos sobre el tratamiento de datos
Una forma de desmitificar el tema es contrastar los mitos relacionados con el universo de los datos y su tratamiento. A continuación, se presentan cuatro premisas equivocadas que están presentes en el sentido común.
“Los datos sensibles y los datos relevantes pertenecen a la misma categoría”
Esto no es correcto, ya que los datos relevantes incluyen cifras de ventas, registros de atención al cliente o datos de inventario. Por otro lado, los datos sensibles se refieren al nombre completo, dirección, CPF, información bancaria, datos de salud y más.
“Los datos recopilados antes de la LGPD no deben tratarse igual que los actuales”
Falso, porque la LGPD se aplica a todos los datos personales, independientemente de si fueron recopilados antes o después de la implementación de la ley. Aunque fue sancionada en 2020, la norma otorgó un período de adaptación para las empresas y comenzó a fiscalizarse efectivamente a partir de 2021. Desde entonces, todos los organismos que trabajan con datos están obligados a seguir las disposiciones de la LGPD para garantizar el tratamiento adecuado de la información.
“La LGPD solo es válida para los datos recopilados en internet”
Incorrecto, ya que las determinaciones de la Ley General de Protección de Datos se aplican a todo tipo de datos personales, independientemente del medio en el que circulen. Esto implica que la información personal recopilada, almacenada y compartida, tanto en medios digitales como físicos, debe cumplir con el alcance de la LGPD.
“El tratamiento de datos solo es para grandes empresas”
Esta afirmación es falsa e incluso puede causar mayores problemas para quienes la sigan, aunque sea de manera equivocada. Es un mito, porque empresas de todos los tamaños recopilan y utilizan datos en sus operaciones, y el tratamiento correcto de estos datos es importante para todas ellas.
Cuidados que adoptar en la dinámica de la empresa
Además de actualizarse sobre los requerimientos de la LGPD, los gestores necesitan redoblar los cuidados con el mantenimiento de los datos. Es decir, no basta con trabajar la política de privacidad de un sitio web o desarrollar un mecanismo que garantice el consentimiento de los usuarios al compartir datos. También es necesario garantizar que la empresa opere con una red segura y que mantenga el hardware actualizado y con las copias de seguridad al día. A continuación, se presentan algunos ejemplos de medidas que pueden adoptarse en la dinámica empresarial:
• Recopilar únicamente los datos necesarios para fines específicos.
• Adoptar medidas de seguridad para evitar fugas y accesos no autorizados (invertir en criptografía, firewalls, controles de acceso, etc.).
• Capacitar al equipo para que esté familiarizado con la política de privacidad de la empresa.
• Realizar copias de seguridad en un sistema en la nube y también en hardware.
Por último, cabe mencionar un consejo extra en la seguridad de los datos personales, relacionado con su eliminación. Además de almacenarlos correctamente, es fundamental eliminarlos con el mismo nivel de seguridad. Esto implica, en ocasiones, recurrir a mano de obra especializada.
Existen algunas opciones viables para ello, pero es crucial garantizar que estas alcancen el objetivo final: eliminar por completo la información, sin dejar secuencias de bits recuperables con datos reconocibles.
El llamado “borrado de datos” cierra el ciclo de tratamiento dentro de los parámetros de la LGPD y de una política cuidadosa que la empresa puede adoptar respecto a la información recopilada.
Entre las especialidades de CBL Tech se encuentra la destrucción de datos, un servicio que asegura la eliminación correcta de la información. Conozca más sobre este tema y garantice la exclusión definitiva de datos