La privacidad de los datos es una cuestión compleja en el mundo actual, siempre conectado. Queremos que se proteja nuestra privacidad, pero compartimos de buen grado todo tipo de información personal en nuestro afán por conectar con amigos, comprar productos o hacer reservas para cenar. Al mismo tiempo, las organizaciones que recopilan esta información de los individuos están reconociendo los retos económicos y sociales que supone protegerla. De hecho, no salvaguardar adecuadamente los datos personales puede afectar negativamente a la reputación de las empresas, la confianza de los clientes y la rentabilidad.
¿Qué es el Marco de Privacidad 1.0 del NIST?
Para ayudar a las organizaciones a diseñar mejores prácticas de privacidad, el Instituto Nacional de Normas y Tecnología (NIST) ha publicado recientemente un nuevo marco para mejorar la privacidad mediante la Gestión del Riesgo Empresarial. La agencia trabajó con partes interesadas públicas y privadas para crear el Marco de Privacidad del NIST 1.0que es una herramienta voluntaria diseñada específicamente para ayudar a las organizaciones:
- Identificar, evaluar, gestionar y comunicar mejor los riesgos para la privacidad al diseñar o implantar sistemas, productos y servicios.
- Fomentar el desarrollo de enfoques innovadores para proteger la intimidad de las personas
- Aumentar la confianza en los sistemas, productos y servicios.
Este marco sigue la estructura del popular Marco de Ciberseguridady se recomienda utilizar ambos marcos conjuntamente. Ambos marcos se componen de tres partes: Núcleo, Perfiles y Niveles de Implementación. Cada componente del Marco de Privacidad refuerza la gestión del riesgo para la privacidad mediante objetivos empresariales, funciones, responsabilidades y actividades de protección de la privacidad.
- El Núcleo pretende permitir un diálogo, desde el nivel ejecutivo hasta el nivel de implementación/operaciones, sobre las actividades importantes de protección de la privacidad y los resultados deseados.
- Los Perfiles pretenden priorizar y gestionar los resultados y las actividades para alinearlos con los valores de privacidad, las necesidades empresariales y los riesgos de la organización, incluidos los estados objetivo actuales y deseados de actividades de privacidad específicas.
- Los Niveles de Implementación están pensados para apoyar la toma de decisiones y la comunicación organizativas sobre los riesgos para la privacidad de los sistemas, productos o servicios de una organización y su capacidad para gestionar dichos riesgos con los procesos y recursos existentes. También se pueden utilizar para comunicar internamente las asignaciones de recursos necesarias para progresar a un nivel superior o como puntos de referencia generales para medir el progreso en la gestión de los riesgos para la privacidad.
¿Quién puede beneficiarse del Marco de Privacidad del NIST?
Este nuevo marco se ha desarrollado como una guía no técnica de las mejores prácticas de privacidad y seguridad. Y no podría haber llegado en mejor momento, ya que las organizaciones siguen adaptándose a las leyes nuevas y existentes sobre tratamiento de datos, como la Ley de Privacidad del Consumidor de California (CCPA), la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) y el Reglamento General de Protección de Datos (GDPR) de la UE. Incluso si una empresa ya dispone de una sólida estrategia de seguridad, se recomienda echar un vistazo al nuevo Marco de Privacidad del NIST para identificar posibles lagunas y garantizar el cumplimiento de todas las normativas aplicables relacionadas con la privacidad. Aunque está dirigido principalmente a los miembros de la C-suite que gestionan los riesgos empresariales, el Marco de Privacidad guiará a todos los gestores de riesgos para construir mejores bases de privacidad, equiparando el riesgo de privacidad con su cartera de riesgos empresariales más amplia.
En Instituto Nacional de Normas y Tecnología es un no-regulatorio en el Departamento de Comercio de EE.UU.ce. Para más información sobre California Consumer Ley de Privacidad, por favor descargar Riskonnect e-libro, Tu guía sobre la CCPA. Para saber más sobre la gestión del riesgo a nivel empresarialel, por favor descargar, Charting a Course for Enterprise Gestión de Riesgos.