Es evidente que la información es apreciada por muchos aspectos relevantes, por ejemplo, en el ámbito organizacional su importancia radica en la utilidad para la toma de decisiones o por su calidad de secreto industrial, por lo que en muchos casos es considerada el activo más importante.
En otros casos, la información es fundamental para las operaciones de todos los días, aunque no siempre es propiedad de las empresas, sobre todo si consideramos que estos datos pueden pertenecer a los clientes o usuarios. Por ello, en los últimos años ha cobrado relevancia la protección de datos personales.
Los datos personales y las brechas de seguridad
Debido a la importancia de los datos y a los beneficios que pueden generarle a los cibercriminales que buscan adueñarse de ellos, continuamente observamos brechas de seguridad relacionadas con la fuga de información, en los cuales se utilizan distintos vectores de ataque para lograr los fines maliciosos.
Por ejemplo, en 2014 se conocieron casos de fuga de información relacionados con malware Point of Sale, en compañías como Target, Home Depot o UPS, donde los atacantes lograron obtener más de 40 millones de números de tarjetas de crédito y débito de usuarios. Empresas como eBay o Yahoo! también se vieron en la necesidad de notificar a miles de usuarios que sus cuentas y contraseñas habían sido filtradas a través de un ataque.
En 2015 otras industrias también se han visto afectadas, tal es el caso de Comunity Health System (CHS) en los Estados Unidos, que fue víctima de la fuga de 4.5 millones de registros médicos. De acuerdo con el comunicado de la entidad, sus sistemas fueron víctimas de una APT. Otro de los casos más conocidos este año, fue el robo de datos confidenciales a Ashley Madison, sitio de citas online especializado en relaciones extramaritales, que puso en potencial peligro a sus 37 millones de usuarios.
Sin importar las actividades de las empresas, la industria a la que pertenezcan, su tamaño o ubicación geográfica, e independientemente del ataque utilizado para afectarlas, la consecuencia más común suele ser la fuga de información, con los conocidos daños a la imagen de las organizaciones. En esta lista se cuentan empresas, gobiernos y otras entidades, impactado de manera negativa a sus miles, e incluso millones de usuarios.
Por estas razones, en distintos países se han emitido leyes orientadas a la protección de los datos personales, que deben cumplir entidades del sector público o privado que traten información de carácter personal. La protección de los datos es un derecho ciudadano, que brinda la facultad para controlar a voluntad la información personal de cada individuo, que es almacenada, procesada o transmitida por terceros.
Definición y clasificación de los datos personales
Por datos personales se entiende cualquier información concerniente y asociada a una persona, que permite identificarla. Estos datos nos caracterizan como individuos y determinan nuestras actividades, tanto públicas como privadas. Debido a que cada dato está relacionado directamente con las personas, cada quien es dueño de sus datos personales y es quien decide si los comparte o no.
Entre estos datos se encuentran los que identifican a la persona, o aquellos que permiten tener comunicación con su titular. También, datos relacionados con el empleo, sobre características físicas como la fisonomía, anatomía o rasgos de la persona. Además, considera información relacionada con la formación y actividades profesionales, datos relativos a sus bienes, así como información biométrica.
Algunos datos personales pueden resultar sensibles. En esta categoría se incluyen aquéllos que involucran el ámbito privado de su titular, cuyo uso indebido podría derivar en alguna afectación negativa, como la discriminación, por citar un ejemplo. Incluyen aspectos como el origen étnico, estado de salud, creencias religiosas, preferencia sexual, afiliación u opiniones políticas. Las categorías pueden clasificarse de la siguiente manera.
La importancia de la protección de los datos personales
La diversidad de información que puede ser asociada a una persona es amplia, los datos considerados como personales son utilizados para muchas actividades cotidianas. Pero como lo hemos mencionado en otro momento, la información puede encontrarse en distintas formas; con el avance tecnológico muchos datos relacionados con los individuos se almacenan, procesan o transmiten en formato digital.
Esto expande el abanico de opciones para los cibercriminales que buscan lucrar con la información, ya que ahora se utilizan los medios tecnológicos para cometer delitos, y es en este punto donde la seguridad de la información cobra relevancia, sobre todo por que cada brecha de seguridad relacionada con una fuga de información conlleva distintas consecuencias, mismas que están en función de los datos que son robados, el tipo de empresa que ha sido afectada, así como la industria a la que pertenece dicha organización.
Por lo anterior, y debido a que los datos personales pertenecen a su titular y no a las entidades que utilizan las bases de datos, se han puesto en marcha iniciativas alrededor del mundo, que buscan proteger los datos personales que se encuentran en posesión de particulares o de gobiernos, haciendo de la tarea de protección de la información, una responsabilidad compartida entre los usuarios, las empresas que tienen acceso a los datos y gobiernos que deben legislar al respecto, así como crear las instituciones encargadas de regular y hacer cumplir las leyes.