ControlCase

IT Certifications, Continuous Compliance and Cybersecurity Services Provider

You are here: Home / Blog / ¡Todo es Privado! ….No Significa No….

Se puede observar que las Leyes de Privacidad alrededor del mundo no solo fueron creadas para regular el uso de datos por parte de las organizaciones; es notable una intención empoderamiento muy fuerte dirigida hacia el cliente. Se puede observar un fuerte enfoque con respecto a los derechos del cliente y sobre el control y la gestión de sus datos personales y privados en estas regulaciones.
En mi opinión, dos de las herramientas más fuertes dentro del arsenal son:
– Consentimiento
– Derecho a ser olvidado
Durante este episodio de Todo es Privado, hablaremos acerca de las mejores practicas que las organizaciones pueden implementar para cumplir con estos requisitos.

Consentimiento

  • Ya sea HITRUST, GDPR, CCPA o cualquier otra regulación; todas indican que las organizaciones no pueden almacenar los datos personales de sus clientes sin un consentimiento por escrito emitido por el cliente o consumidor.
  • Existen diferentes métodos para satisfacer este requerimiento, por ejemplo:
    • En los países donde se exige que el consentimiento sea entregado en físico o copia impresa, las organizaciones pueden implementar enlaces de descarga de formularios. De esta manera los clientes podrán descargar, leer, firmar y luego brindar su consentimiento de manera manual.
    • El otro método consiste en implementar una página de exención de responsabilidad que cubra todos los términos necesarios para el consentimiento con respecto al almacenamiento de datos o cookies del sitio web. A su vez se debe incluir una casilla de verificación en la que una vez el cliente haga clic, sirva como consentimiento formal del usuario. Este es el método más aceptado e implementado.
  • Se recomienda que los términos incluyan los parámetros exactos de los datos PII que serán capturados y almacenados. También deben incluir una guía acerca de cómo se protegerán los datos y un breve resumen que enuncie los controles que garantizarán que la información se almacenara con integridad intacta y sin pérdida de acceso no autorizado o robo.
  • La organización también debe garantizar que los datos no se compartirán con otras entidades sin el consentimiento explicito de los clientes para los mismos.
  • La organización debe contar con un plan interno que este bien documentado e implementado para garantizar la seguridad y protección de datos PII que estarán almacenados y en reposo dentro del entorno organizacional.
  • La política de retención de datos y las directrices basadas en la regulación, las leyes y otros requisitos in situ también deben documentarse e implementarse.

Derecho a ser Olvidado

  • Si un cliente le brinda su consentimiento a una organización, esto no significa que la organización tenga el derecho absoluto de conservar sus datos para siempre.
  • Los clientes tienen el derecho a ejercer su “Derecho a ser olvidado”, en otras palabras, esto significa que los clientes pueden solicitarle a las organizaciones que eliminen todas y cada una de sus referencias de datos PII dentro de la organización.
  • El artículo 17 de GDPR es el “Derecho a ser olvidado” y es probablemente uno de los artículos más comentados de la regulación.
  • Las organizaciones deben asegurarse de tener un enlace en su sitio web o una dirección de correo electrónico para que cualquier pueda ejercer su “Derecho a ser olvidado”
  • Toda organización debe contar con lo siguiente para responder a dicha solicitud:
    • Respuesta automatizada o manual a los clientes acusando recibido de la solicitud e informando el cronograma previsto en el que se llevara a cabo el borrado.
    • Tener una política y un procedimiento documentado para identificar y obtener todos los datos vinculados a un individuo en específico del almacenamiento activo, así como del almacenamiento de respaldo.
    • Tener una política y un procedimiento documentado para la eliminación segura de estos datos de PII, de modo que no se puedan recuperar posterior a su eliminación.
    • Procedimientos de comunicación post-eliminación con el fin de informarles a los clientes acerca de la exitosa eliminación de sus datos.

Habiendo mencionado estas buenas prácticas, me gustaría resaltar que dependiendo de las regulaciones aplicables basadas en las jurisdicciones, existen algunas excepciones y exenciones a los requisitos de “Consentimiento” y “Derecho a ser Olvidado”. Sin embargo, esto requiere un análisis detallado del tipo de negocio, tipos de datos recopilados, región del negocio, etc. Para lo cual sugeriría que las organizaciones soliciten el apoyo de las SMEs especializadas en Privacidad de Datos como ControlCase con el fin de oriéntalos y guiarlos por el camino correcto.

Pero aparte de todo esto, recuerde que si el cliente dice “No” significa “No”.

Ashish Kirtikar
ControlCase
General Manager - Europe & UK

Related Blog

HIPAA, CCPA, and GDPR: Privacy or Information Security?
Modern enterprise security teams must address many different types of requirements as they create their cyber defenses. These requirements can be internally generated, customer requested, legally defined, mandated by a court, or driven by an incident. They typically involve adding new protections such as cyber security platforms or increasing assurance such as through penetration testing.
CCPA vs. GDPR
Désormais tout est privé .... Non signifie Non ...
The push towards digitization across the globe means that various industries like retail, healthcare, F&B etc. have moved a significant amount of their business / services to online mode. This requires consumers to share their personal or sensitive data (e.g. Card Numbers, SSN Numbers, Health Records, Identification data etc.) on these online channels.
It’s All Private!!!! - No Means No…
The push towards digitization across the globe means that various industries like retail, healthcare, F&B etc. have moved a significant amount of their business / services to online mode. This requires consumers to share their personal or sensitive data (e.g. Card Numbers, SSN Numbers, Health Records, Identification data etc.) on these online channels.
Désormais tout est privé - Le barème prêt
La poussée vers la digitalisation à travers le monde signifie que diverses industries telles que la vente au détail, la santé, la restauration, etc. ont migré une part importante de leurs activités / services vers le mode en ligne. Cela oblige les consommateurs à partager leurs données personnelles ou sensibles (par exemple, numéros de carte, numéros SSN, dossiers médicaux, données d'identification, etc.) sur ces canaux en ligne.
It’s All Private!!!! - The Ready Reckoner
The push towards digitization across the globe means that various industries like retail, healthcare, F&B etc. have moved a significant amount of their business / services to online mode. This requires consumers to share their personal or sensitive data (e.g. Card Numbers, SSN Numbers, Health Records, Identification data etc.) on these online channels.

About Us

ControlCase is a global provider of certification, cybersecurity, and continuous compliance services. ControlCase is committed to empowering organizations to develop and deploy strategic information security and compliance programs that are simplified, cost-effective, and comprehensive in both on-premise and cloud environments.
ControlCase offers certifications and a broad spectrum of cyber security services that meet the needs of companies required to certify to PCI DSS, HITRUST, SOC2, CMMC, ISO 27001, PCI PIN, PCI P2PE, PCI TSP, PCI SSF, CSA STAR, HIPAA, GDPR, SWIFT, and FedRAMP.

Contact Us

Thank you for reading this blog. If you are interested knowing how we can help you in your data privacy initiatives within your organizations, feel free to contact us using below form.



  • Captcha Image