En nuestro mundo hiperconectado, la seguridad de los datos y la ciberseguridad se han convertido en preocupaciones primordiales para organizaciones de todos los tamaños y en todas las industrias. Los gobiernos de todo el mundo han respondido implementando regulaciones para salvaguardar la información confidencial y combatir las ciberamenazas. ¡Tanto es así que se está volviendo un poco difícil mantenerse al día con todos ellos!
En este artículo, exploraremos una lista seleccionada de algunas de las principales regulaciones de protección de datos, marcos de seguridad cibernética y estándares de seguridad de datos específicos de la industria de diferentes rincones del mundo.
Desde el RGPD de amplio alcance en Europa hasta la HIPAA específica del sector en los Estados Unidos, hemos elaborado una lista fácil de entender con descripciones que le garantizarán los conocimientos necesarios para navegar por el complejo mundo de la protección de datos.
Vamos directo a esto:
Normativa general de protección de datos
GDPR (EU)
Nombre completo: Reglamento General de Protección de Datos
Alcance: Todas las organizaciones en todo el mundo que procesan los datos personales de los residentes de la UE.
Descripción: GDPR es la regulación de protección de datos personales más estricta y compleja del mundo. Las empresas están obligadas a proteger los datos personales de los ciudadanos de la UE y no pueden recopilarlos ni procesarlos sin su consentimiento.
Leer más sobre GDPR en inglés
CCPA (USA)
Nombre completo: Ley de Privacidad del Consumidor de California
Alcance: CCPA se dirige principalmente a empresas medianas y grandes que operan en California, independientemente de dónde se encuentre la empresa. Evaluar si los requisitos para “operar en California” no es tarea fácil. Leer sobre los criterios en inglés
Descripción: CCPA es la primera ley integral de privacidad del consumidor en los Estados Unidos. Otorga a los consumidores el derecho a saber qué información personal se recopila, el derecho a que se elimine esa información y el derecho a excluirse de la venta de sus datos confidenciales.
El 1 de enero de 2023, la Ley de derechos de privacidad de California de 2020 (CPRA) amplió la CCPA, lo que permite a los consumidores evitar que las empresas compartan sus datos personales, corregir datos inexactos y limitar el uso de "información personal confidencial" por parte de las empresas. La ley estableció la Agencia de Protección de Privacidad de California dedicada.
Leer más sobre CCPA en inglés
LOPDP(Ecuador)
Nombre completo: Ley Orgánica de Protección de Datos Personales
Alcance: La LOPDP es aplicable a todas las personas, naturales o jurídicas, públicas o privadas que traten datos de personas naturales ecuatorianas o en territorio ecuatoriano.
Descripción: El objetivo de esta ley es garantizar el derecho que tienen todos los ciudadanos ecuatorianos a que se resguarden sus datos personales, a poder acceder libremente a dicha información y a decidir sobre ella. Para esto, la Ley “regula, prevé y desarrolla principios, derechos, obligaciones y mecanismos de tutela”.
PIPEDA (Canada)
PIPEDA pronto puede ser reemplazada por la Ley de Protección de la Privacidad del Consumidor (CPPA): en junio de 2023, pasó la segunda lectura en la Cámara de los Comunes .
Nombre completo: Ley de Protección de Datos Personales y Documentos Electrónicos
Alcance: Organizaciones que operan en Canadá u organizaciones ubicadas fuera de Canadá que usan información personal en relación con actividades comerciales dentro de Canadá.
Descripción: PIPEDA es una ley de privacidad en Canadá que establece reglas para la recopilación, uso y divulgación de información personal en actividades comerciales. Es aplicable a organizaciones del sector privado durante actividades comerciales con fines de lucro.
DPA 2018 (UK)
Nombre completo: LOPD
Alcance: Organizaciones (incluido el gobierno y sin fines de lucro) que procesan datos personales en el Reino Unido
Descripción: La Ley de Protección de Datos de 2018 incorpora los principios del RGPD y establece varios derechos y responsabilidades con respecto a los datos personales. Requiere que las organizaciones implementen medidas técnicas y organizativas apropiadas para salvaguardar los datos personales.
Ley de privacidad (Australia)
Alcance: agencias gubernamentales australianas, empresas y organizaciones sin fines de lucro con una determinada facturación anual, pero también organizaciones más pequeñas en determinadas circunstancias (proveedores de atención médica del sector privado, organismos de informes crediticios y otros)
Descripción : La Ley de privacidad es la principal legislación de protección de datos de Australia. Su objetivo principal es proteger la privacidad de las personas y garantizar que su información personal se maneje de manera justa y transparente y que las organizaciones tomen medidas razonables para mantener la seguridad de los datos.
POPIA (Sudáfrica)
Nombre completo: Ley de Protección de Datos Personales
Alcance: Toda entidad, privada o pública, que esté domiciliada en Sudáfrica o no esté domiciliada en Sudáfrica pero procese información personal en Sudáfrica cae dentro del alcance de POPIA.
Descripción : El propósito de POPIA es salvaguardar los datos personales contra robo, uso indebido y acciones maliciosas. POPIA describe las condiciones bajo las cuales cualquier persona u organización puede procesar legalmente información confidencial.
Leer más sobre POPIA en inglés
Normativa de ciberseguridad
NIS2 (EU)
Los estados miembros de la UE tienen hasta septiembre de 2024 para implementar los requisitos NIS2 en su legislación nacional.
Nombre completo: Directiva de seguridad de la información y las redes
Alcance : todas las organizaciones que operan dentro de sectores e industrias "esenciales" e "importantes" especificados, incluidos sus proveedores de servicios digitales, entran en el alcance de NIS2
Descripción : El NIS se introdujo en 2016 como la primera directiva de ciberseguridad de la UE. El objetivo del NIS2 actualizado es crear un nivel estándar de protección en toda la UE mediante la implementación de requisitos y medidas de ciberseguridad en todos los estados miembros de la UE. Enumera los sectores afectados, identifica los requisitos de seguridad, unifica las obligaciones de presentación de informes e introduce medidas de aplicación y sanciones.
Todo esto está destinado a proteger la infraestructura crítica y los ciudadanos de la UE de los ataques cibernéticos.
Leer más sobre NIS2 en inglés
Ley de Ciberseguridad (UE)
Nombre completo: Reglamento (UE) 2019/881
Ámbito : Estados miembros de la UE, ENISA, organismos de certificación y organizaciones y empresas que desarrollan, fabrican o proporcionan productos y servicios de TIC dentro de la UE
Descripción : La Ley de Ciberseguridad de la UE otorga a la Agencia de Ciberseguridad de la Unión Europea (ENISA) un mandato permanente y establece un marco de certificación para productos y servicios de TIC para garantizar su confiabilidad. Promueve la cooperación entre los estados miembros de la UE para mejorar las prácticas de ciberseguridad y el intercambio de información.
CMMC (Estados Unidos)
La implementación completa se ha retrasado y se espera para 2025.
Nombre completo: Certificación del Modelo de Madurez de Ciberseguridad
Alcance : Todos los contratistas y subcontratistas del Departamento de Defensa de EE. UU. (DoD)
Descripción : CMMC es un marco lanzado por el DoD para proteger la información no clasificada controlada que comparte con sus contratistas y subcontratistas de ataques cibernéticos.
Leer más sobre CMMC en inglés
Reglamentos de protección de datos específicos de la industria
HIPAA (USA)
Nombre completo: Ley de Portabilidad y Responsabilidad del Seguro Médico
Industria: Salud
Alcance: proveedores de atención médica involucrados en la industria de la atención médica en los EE. UU. y sus socios comerciales externos que tienen acceso a información médica protegida
Descripción: El objetivo principal de HIPAA es establecer estándares nacionales para el intercambio electrónico de información de atención médica y salvaguardar la confidencialidad de los pacientes. Su objetivo es mantener la privacidad y la seguridad de la información de salud personal al tiempo que permite el intercambio eficiente y seguro de datos médicos.
Leer más sobre HIPAA en inglés
PCI DSS (Estados Unidos)
Nombre completo: Estándar de seguridad de datos de la industria de tarjetas de pago
Industria: Finanzas
Alcance: PCI DSS se aplica globalmente a todas las entidades que procesan, transmiten o almacenan datos de titulares de tarjetas.
Descripción: PCI DSS es un conjunto de reglas y procesos que están diseñados para proteger los datos confidenciales de los titulares de tarjetas contra violaciones de datos y fraude. Les dice a los comerciantes cómo manejar la información de la tarjeta de pago de sus clientes de manera segura, para que no caiga en las manos equivocadas.
Leer más sobre PCI DSS en inglés
DORA (EU)
DORA se encuentra actualmente en su período de preparación de 24 meses y entrará en vigor en enero de 2025.
Nombre completo: Ley de resiliencia operativa digital
Industria: Finanzas
Alcance: DORA se aplica a las entidades financieras que participan en el sistema financiero de la UE y a los proveedores de servicios de TIC que las respaldan. Esto es cierto incluso para las empresas con sede fuera de la UE.
Descripción: El propósito de DORA es fortalecer la resiliencia digital dentro de la Unión Europea. Crea un conjunto de reglas para manejar los riesgos asociados con las TIC en la industria financiera. Al hacerlo, armonizará los esfuerzos de seguridad de datos en todos los estados miembros de la UE.
GLBA (Estados Unidos)
Nombre completo: Ley Gramm-Leach-Bliley
Industria: Finanzas
Alcance: GLBA se aplica a una amplia gama de instituciones financieras en los EE. UU.
Descripción: GLBA es una ley estadounidense que rige el manejo de información personal no pública por parte de bancos e instituciones financieras, compañías de seguros y proveedores de servicios financieros. Uno de los componentes clave es la Regla de privacidad, que requiere que las instituciones financieras proporcionen a los clientes avisos de privacidad claros y concisos que expliquen las prácticas de intercambio de información de la institución.
TISAX (Alemania)
Nombre completo: Intercambio de evaluación de seguridad de la información confiable
Alcance: se requiere una certificación TISAX para todas las organizaciones que hacen negocios con la mayoría de los principales actores de la industria automotriz alemana.
Descripción: TISAX fue desarrollado por la Asociación Alemana de la Industria Automotriz (VDA) y proporciona un proceso común de evaluación e intercambio, lo que garantiza un alto nivel de seguridad y confidencialidad de los datos en la cadena de suministro automotriz.
Leer más sobre TISAX en inglés
Implemente Safetica para cumplir con las regulaciones sin esfuerzo
Con Safetica, es fácil cumplir con varios requisitos reglamentarios. La solución identifica y clasifica sus datos confidenciales y se asegura de que estén protegidos contra el uso indebido y las infracciones. Safetica le permite configurar sus políticas de seguridad, para que pueda restringir el acceso a sus archivos confidenciales. También puede realizar auditorías de seguridad para ver el estado de la seguridad de los datos en su organización. Y en caso de que haya una amenaza de seguridad de todos modos, se le notificará en tiempo real.