proteccion de datos una descripcion |
Posted: May 21, 2020 |
Tipos de regulación de privacidad de datos Las reglamentaciones de colección de datos brindan orientación sobre cómo y en qué momento las empresas pueden compilar datos sobre los consumidores y, en algunos casos, si las personas deben ser notificadas de que sus datos se recopilan. Las regulaciones de violación de datos le afirman a las empresas qué deben hacer en caso de una violación de datos, como avisar a las agencias y los clientes, rastrear información sobre la violación y tomar medidas para garantizar que no ocurra una violación similar en el futuro. Las regulaciones de acceso a datos dan pautas para 1) de qué manera se debe manejar el acceso interno a la información, y 2) los niveles de acceso a los que tienen derecho los usuarios. Las regulaciones de almacenamiento de datos rigen de qué forma deben almacenarse los datos para sostenerlos seguros. Algunas regulaciones son más específicas que otras, y por norma general cubren cosas como cuánto tiempo deben guardarse los datos y la seguridad de su infraestructura de almacenamiento. Las reglamentaciones de capacitación sobre privacidad de datos brindan orientación sobre a quién debe capacitar su empresa sobre privacidad de datos. Por norma general, esto es algo en lo que cada empleado precisa capacitación para cumplir con las regulaciones. Las regulaciones de privacidad de datos más comunes La Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) establece el estándar de cómo la información del paciente ha de ser manejada por los consultorios médicos, centros de salud, compañías aseguradoras y otras empresas que manejan información de salud personal. HIPAA requiere que las empresas que procesan datos de pacientes y distribuidores (por servirnos de un ejemplo, hospitales) protejan la información del paciente y solo dejan que se difunda en ciertas situaciones. HIPAA proporciona cuatro reglas generales que las empresas deben cumplir, que son: Asegurar la confidencialidad, integridad y disponibilidad de toda la e-PHI que crean, reciben, sostienen o bien transmiten; Identificar y proteger contra amenazas razonablemente anticipadas a la seguridad o bien integridad de la información; Resguardar contra usos o divulgaciones razonablemente adelantados e inadmisibles; y Garantizar el cumplimiento por la parte de su fuerza laboral. Para conseguir más información sobre quién debe cumplir con HIPAA y lo que se precisa para cumplir con HIPAA, consulte esta guía. El Reglamento General de Protección de datos (GDPR) se promulgó en dos mil dieciocho para resguardar los derechos de los ciudadanos en la Unión Europea en lo que respecta a la recopilación de datos y la privacidad. El RGPD se aplica a las empresas que cumplen con los próximos criterios: Una presencia en un país de la UE. No tiene presencia en la UE, mas procesa datos personales de residentes europeos. Más de doscientos cincuenta empleados. Menos de 250 empleados, mas su procesamiento de datos afecta los derechos y libertades de los interesados, no es ocasional o bien incluye algunos tipos de datos personales confidenciales. Esto significa que se aplica efectivamente a casi todas las empresas. Da a los clientes del servicio el derecho de saber qué datos se recopilan y establece los requisitos sobre de qué manera y cuándo las empresas deben informar las infracciones. El RGPD es una de las reglas de privacidad de datos más estrictas de cumplir. Sí permite un enfoque escalonado de las multas y sanciones en función de la relativa gravedad del delito, mas las empresas no deben contar con la clemencia; en dos mil diecinueve, British Airways fue multado con dólares americanos 228 millones y Marriott International fue multado con más de dólares americanos 124 millones por exponer millones de registros de datos personales. Las Normas de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) son algo únicas, en tanto que no se trata de una regulación gubernativo y son impuestas y aplicadas por un organismo regulador independiente, el Consejo de Empresa GDPR Reglas de Seguridad de la Industria de Tarjetas de Pago. Cualquier empresa que admita, almacene o transmita datos de titulares de tarjetas está sujeta a PCI-DSS. Esta regulación requiere que las empresas tengan políticas y procesos establecidos para resguardar la información de sus clientes y garantizar que estén manejando y guardando apropiadamente los datos de la tarjeta de crédito. Esto aun se aplica a las empresas que usan proveedores externos para administrar los pagos con tarjeta de crédito. Todas las empresas implicadas en el comercio online deben conocer bien estos requisitos y estar dispuestas para asegurarse de que sus distribuidores asimismo lo estén. La Ley Sarbanes-Oxley de 2002 (SOX) se promulgó como contestación al escándalo de Enron, y se requiere que las empresas que cotizan en bolsa cumplan con los requisitos. Está diseñado para prevenir los tipos de fraude que ocurrieron al establecer requisitos para retener y almacenar registros comerciales y sanciones por destruir, alterar o bien falsificar registros. Esto implica no solo la contabilidad para asegurar que los registros sean precisos, sino más bien también la función de TI para almacenar registros correctamente. SOX también requiere un sistema para rastrear los cambios en los registros y guardar los registros adecuados a lo largo del período temporal correcto.
|
||||||||||||||||
|