La ética y la privacidad de los datos: un valor central para individuos y empresas

Introducción

La privacidad y la protección ética de los datos personales es un tema que nos concierne a todos. Como individuos, nuestros datos privados se recopilan y utilizan cada día por diversas organizaciones. Como empresas, manejan información confidencial de clientes, empleados y otros actores. ¿Pero realmente entendemos la importancia de manejar esos datos de forma ética? En este artículo exploraremos por qué la ética debe estar en el centro de las prácticas de privacidad, los derechos y deberes de individuos y empresas, y las mejores prácticas para garantizar un uso responsable de la información personal.

La importancia de la ética en las prácticas de privacidad

Más allá de simplemente cumplir con regulaciones, las organizaciones tienen una responsabilidad ética con las personas cuya información recopilan y utilizan. La ética implica ir más allá del mínimo legal y hacer lo correcto. En privacidad esto se traduce en transparencia, control individual y minimización/protección de datos. La confianza se gana haciendo lo correcto.

Las personas tienen derecho a saber qué datos se recopilan, para qué fines y cómo se protegen. Ocultar prácticas de recolección de datos viola la confianza. Lo ético es informar claramente, sin letra pequeña.

Dar control sobre los datos también es ético. Las personas deben poder optar por limitar el uso de su información, incluso si eso significa que la empresa no puede ofrecer ciertos servicios personalizados. Su privacidad está primero.

Minimizar y proteger los datos es otro principio ético clave. Sólo recopilar lo estrictamente necesario, anonimizar cuando sea posible y cifrar los datos son buenas prácticas, aunque conlleven inversiones. Aquí la ética supera la conveniencia.

En definitiva, anteponer los intereses de los individuos por sobre la eficiencia o las ganancias refleja integridad. La ética en privacidad genera confianza y reputación.

El marco jurídico

Principales aspectos de la Ley de Protección de Datos Personales en Posesión de Particulares.

• Fue aprobada en 2010 y entró en vigor en 2011. Su objetivo es proteger los datos personales en posesión de empresas privadas y garantizar el derecho a la privacidad.
• Regula el tratamiento legítimo, controlado e informado de los datos personales. Establece principios como consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad en el tratamiento de datos.
• Obliga a las empresas a informar a las personas sobre la recolección y uso de sus datos, y obtener su consentimiento. Los datos sólo pueden usarse para la finalidad informada y consentida.
• Da derechos a las personas como acceso, rectificación, cancelación y oposición sobre sus datos. Se debe atender estas solicitudes en plazos establecidos.
• Prevé sanciones por incumplimiento que pueden ir desde una amonestación hasta multas de hasta $320,000 pesos mexicanos. La autoridad encargada de vigilar el cumplimiento es el INAI.
• Aplica a cualquier entidad privada que lleve a cabo tratamiento de datos personales, con algunas excepciones como crédito, seguridad, entre otras.

El individuo: derechos y responsabilidades sobre los datos personales

Como individuos, nuestros datos personales nos pertenecen y tenemos derechos sobre su uso:

• Derecho a la información sobre qué datos se recopilan y su uso.
• Derecho a otorgar o no nuestro consentimiento para dicho uso.
• Derecho a acceder, rectificar y eliminar nuestros datos personales.
• Derecho a limitar total o parcialmente el uso de nuestra información.
• Derecho a la portabilidad para obtener y transferir nuestros datos.
• Derecho a la seguridad de los datos mediante medidas de protección.

Pero también tenemos responsabilidades en la protección de nuestra propia privacidad:

• Entender los avisos de privacidad y consultar antes de dar consentimiento. No darlo a ciegas.
• Configurar controles y preferencias de privacidad en servicios online. Limitar lo que se comparte públicamente.
• Denunciar prácticas de uso de datos no éticas, ilegales o sin nuestro consentimiento.
• Ser conscientes de nuestras huellas digitales. Limitar la información personal que cedemos.
• Usar medidas de seguridad como antivirus, cifrado de datos, contraseñas fuertes.
• Capacitarnos continuamente en riesgos y buenas prácticas de privacidad.

La privacidad es una responsabilidad compartida entre organizaciones y personas. Como individuos debemos valorar nuestra información, aprender a protegerla y exigir un uso ético por parte de las empresas.

La empresa: el deber ético con los datos de clientes y empleados

Para las empresas, los datos de clientes, socios y empleados son un activo de confianza, y deben tratarse con ética:

• Informar de forma transparente sobre recolección y uso de datos en avisos de privacidad.
• Solicitar activamente el consentimiento informado de los titulares de los datos.
• Usar los datos sólo para los fines acordados, nunca secundarios sin nuevo consentimiento.
• Anonymizar los datos cuando sea posible para análisis e investigación.
• Minimizar la recolección. Sólo solicitar los datos estrictamente necesarios.
• Implementar medidas de seguridad físicas y cibernéticas de última generación.
• Designar un Oficial de Privacidad que supervise prácticas internas.
• Auditar y monitorear proactivamente el cumplimiento con políticas de privacidad.
• Reportar y comunicar transparentemente cualquier brecha de datos.
• Capacitar continuamente al personal sobre buenas prácticas en privacidad.

El cumplimiento de regulaciones es el mínimo. La ética va más allá: implica hacer lo correcto incluso cuando nadie esté observando. Las empresas deben ganarse y conservar la confianza de clientes siendo guardianes responsables de sus datos. Las empresas deben cumplir cabalmente con los principios y obligaciones que marca la ley para garantizar la privacidad de las personas. Esto les permitirá evitar sanciones y multas que pueden ir de los $170,000 hasta los $320,000 pesos.

El desarrollo

Es importante que para quienes desarrollan las aplicaciones, programadores, ingenieros, empresas, ya sea dentro de las empresas o contratadas, tomar en cuenta que desde la planeación de las soluciones tecnológicas, éstas cuenten desde esas fases a la ciberseguridad como punto de partida. Incorporar la ciberseguridad desde el diseño y planeación de cualquier solución tecnológica, conocido como "seguridad por diseño", es indispensable para obtener sistemas más seguros. Algunas razones y mejores prácticas para adoptar la seguridad por diseño:

• Permite identificar y mitigar riesgos de seguridad desde etapas tempranas en lugar de tratar de corregir vulnerabilidades posteriormente. Es más efectivo y barato.
• Se pueden incorporar controles de seguridad más sólidos cuando se consideran desde la arquitectura y diseño del sistema.
• El uso de metodologías ágiles y DevSecOps facilita incluir profesionales de seguridad colaborando con desarrolladores desde el inicio.
• Realizar evaluaciones de riesgos, pruebas de penetración y análisis de código fuente de manera temprana para identificar y corregir fallos.
• Priorizar enfoques de seguridad centrados en los datos, su clasificación y controles de acceso basados en roles.
• Arquitecturas de microservicios facilitan aislar, encriptar y monitorear componentes críticos de negocio.
• Utilizar bibliotecas y marcos de desarrollo seguro conocidos, en lugar de codificar todo desde cero.
• Automatizar la configuración de seguridad y el despliegue de parches en la infraestructura.
• Documentar requerimientos de seguridad junto con los requerimientos funcionales del sistema.

El incorporar la seguridad por diseño en el desarrollo de soluciones tecnológicas puede considerarse una práctica que fomenta la ética y la responsabilidad en el manejo de datos e información sensible. Algunas razones que sustentan esta afirmación:

• Antepone la privacidad y seguridad de la información de los usuarios sobre otros objetivos como reducción de costos o time-to-market.
• Permite cumplir de mejor manera con normas éticas, regulatorias y legales asociadas a privacidad y seguridad de datos.
• Reduce las probabilidades de incidentes de seguridad que deriven en impactos negativos sobre la privacidad o dignidad de las personas.
• Promueve la transparencia al documentar los controles y decisiones de seguridad en los requerimientos del sistema.
• Fomenta el compromiso ético con usuarios/clientes al velar proactivamente por la protección de sus datos.
• Crea una cultura de responsabilidad compartida sobre seguridad entre equipos de desarrollo, operaciones y seguridad.
• La participación temprana de profesionales de ética y privacidad guía un enfoque centrado en el humano.
• Permite evaluar y mitigar sesgos éticos potenciales en el uso de datos y algoritmos.
• Genera sistemas más robustos y confiables que mejoran la experiencia del usuario final.
• Promueve la innovación ética y socialmente responsable en el uso de tecnologías digitales.

Conclusión

La ética debe estar en el centro de cómo individuos y organizaciones nos relacionamos con los datos personales. Las buenas prácticas de privacidad que hemos explorado generan relaciones de confianza, credibilidad corporativa y permiten innovaciones responsables.

Poner al individuo en el centro, dándole control y transparencia sobre el uso de su información debe ser el faro que guíe el desarrollo de nuevos servicios. La tecnología no es éticamente neutra, depende del uso que hagamos de ella. Todos tenemos el deber de garantizar que la innovación respete los derechos humanos y la dignidad de las personas. Si internalizamos ese deber, el futuro puede ser ético y promisorio.

Preguntas Frecuentes

¿Cómo sé si una empresa está cumpliendo con la ética en privacidad?

Señales de cumplimiento ético son transparencia total sobre sus prácticas de recolección y uso de datos, controles de privacidad accesibles, minimización de datos recolectados, medidas de seguridad, capacitación de personal, auditorías externas y la designación de un Oficial de Privacidad.

¿Puedo saber qué datos personales tiene de mí una empresa?

Sí. Tienes derecho de acceso para solicitar y obtener gratuitamente los datos personales que una empresa posee sobre ti. Deben entregarte esta información en formato comprensible en un plazo máximo de 20 días.

¿Las empresas pueden compartir mis datos sin mi consentimiento?

No. Para compartir o transferir datos personales a terceros necesitan obligatoriamente obtener tu consentimiento informado previo. Solo pueden hacerlo sin consentimiento en casos excepcionales previstos en la ley.

¿Cómo puedo limitar la recolección de mis datos personales?

Configurando opciones de privacidad en servicios digitales, revisando y desactivando permisos de apps, utilizando herramientas como bloqueadores de rastreo y solicitando su eliminación o anonimización. También negando o retirando proactivamente tu consentimiento.

¿Qué debo hacer si sufro un uso indebido de mis datos personales?

Debes comunicarte directamente con la empresa para solicitar cese del uso indebido y eliminación de los datos. También puedes presentar una denuncia ante la autoridad de protección de datos o ejercer acciones legales para exigir medidas correctivas.