Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Gerente y Auditoría Riesgos de privacidad Traducido del inglés al español - www.onlinedoctranslator.com https://www.onlinedoctranslator.com/es/?utm_source=onlinedoctranslator&utm_medium=pdf&utm_campaign=attribution Guía de auditoría de tecnología global 5: Gestión y auditoría de riesgos de privacidad Autores: Ulrich Hahn, Ph.D., Suiza/Alemania Ken Askelson, JCPenney, Estados Unidos Robert Stiles, Texas Guaranteed (TG), EE. UU. junio de 2006 Copyright © 2006 del Instituto de Auditores Internos, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201. Reservados todos los derechos. Impreso en los Estados Unidos de América. Ninguna parte de esta publicación puede ser reproducida, almacenada en un sistema de recuperación, o transmitido en cualquier forma por cualquier medio: electrónico, mecánico, fotocopia, grabación, o de otra manera, sin el permiso previo por escrito del editor. El IIA publica este documento con fines informativos y educativos. Este documento está destinado a proporcionar información, pero no es un sustituto del asesoramiento legal o contable. El IIA no proporciona dicho asesoramiento y no ofrece ninguna garantía en cuanto a cualquier resultado legal o contable a través de su publicación de este documento. Cuando surjan problemas legales o contables, debe buscarse y conservarse la asistencia profesional. GTAG — Índice 1. Resumen Ejecutivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . .1 2. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.1 ¿Qué es la privacidad? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.2 Gestión de riesgos de privacidad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 3. Principios y marcos de privacidad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 3.1 Principios de privacidad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 3.2 Marcos de privacidad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 4. Privacidad y Negocios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 4.1 Impactos sobre la privacidad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 4.2 Modelo de riesgo de privacidad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 4.3 Problemas del sector y la industria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 4.4 Marco de Control de Privacidad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 4.5 Determinación de buenos y malos desempeños. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 5. Privacidad de auditoría. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 5.1 Rol de la Auditoría Interna en el Marco de Privacidad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 5.2 Planificación de actividades. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 5.3 Priorización y clasificación de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 5.4 Evaluación del riesgo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 5.5 Preparación del Compromiso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 5.6 Realización de la evaluación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 5.7 Comunicación y seguimiento de los resultados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 5.8 Gestión de privacidad y auditoría. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 6. Las 10 preguntas principales sobre privacidad que los DEA deben hacer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 7. Apéndice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 7.1Otras Normas y Metodología de Auditoría. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 7.2Monografías seleccionadas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 7.3Recursos gubernamentales globales y regionales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 7.4Recursos Regionales y Nacionales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27 7.5Organizaciones profesionales y sin fines de lucro. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27 7.6Más recursos de Internet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28 7.7Glosario de términos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29 7.8Glosario de Siglas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 7.9Autores, colaboradores y revisores. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 GTAG — Resumen ejecutivo — 1 ¿Por qué es importante la privacidad? • Lograr una ventaja competitiva en el mercado. • Cumplir con las leyes y regulaciones de privacidad aplicables. • Mejorar la credibilidad y promover la confianza y la buena voluntad. Uno de los muchos problemas de gestión de riesgos desafiantes y formidables que enfrentan las organizaciones hoy en día es proteger la privacidad de la información personal de los clientes y empleados. Como consumidores, nos preocupa cómo las empresas y organizaciones usan y protegen esta información. Como dueños o gerentes de negocios, queremos satisfacer las necesidades y expectativas de nuestros clientes y empleados, cumplir cualquier promesa que les hayamos hecho en forma de políticas y avisos de privacidad, y cumplir con las leyesy regulaciones de seguridad y privacidad de datos aplicables. Los clientes, proveedores y socios comerciales de la organización quieren garantías de que la información personal recopilada de ellos está protegida y se usa solo para los fines para los que se recopiló originalmente. Cuando la privacidad se gestiona bien, las organizaciones se ganan la confianza de sus clientes, empleados, y otros interesados. Cuando se gestiona mal, la confianza y la confianza se erosionan rápidamente. Para las organizaciones del sector público y sin fines de lucro, los beneficios de buenos controles de privacidad incluyen: • Mantener la confianza con ciudadanos y no ciudadanos. • Mantener relaciones con donantes de organizaciones sin fines de lucro respetando la privacidad de sus actividades. Mantenimiento de prácticas de privacidad efectivas La mayoría de las organizaciones reconocen la necesidad de implementar buenas prácticas de privacidad. Sin embargo, el desafío es mantener estas buenas prácticas. Con la proliferación de tecnología que permitió la recopilación, el uso, la divulgación, la retención y la destrucción de información personal en grandes volúmenes, así como en numerosas bases de datos, las organizaciones tienen dificultades para identificar dónde se almacenan estos datos, cómo se protegen y quién tiene acceso a ellos. y cómo se desecha de forma segura. Además, la rendición de cuentas y la responsabilidad de mantener un programa de privacidad no siempre se asignan claramente y, a menudo, se distribuyen en toda la organización. Esto puede generar inconsistencia e incertidumbre cuando se trata de garantizar que se implementen buenas prácticas de privacidad y que funcionen de manera efectiva. Para implementar y administrar un programa de privacidad efectivo, la organización debe definir claramente sus políticas de privacidad, comunicar esas políticas y documentar los procedimientos y controles relacionados con la recopilación, el uso, la retención y la divulgación de información personal para garantizar el cumplimiento de las leyes, reglamentos, y las políticas de la organización. Se deben establecer criterios específicos que sean relevantes, objetivos, completos y medibles para evaluar la efectividad de cada uno de estos elementos. El establecimiento de estos criterios puede proporcionar un enfoque consistente para proteger la información personal de una manera que las personas puedan entender fácilmente y que la organización pueda implementar y evaluar fácilmente. “La información personal se ha convertido tanto en un activo importante como en un pasivo para sus custodios”. – Dra. Ann Cavoukian, Información y Privacidad Comisionado de Ontario, Canadá La privacidad es un problema mundial. Muchos países han adoptado leyes de privacidad a nivel nacional que rigen el uso de información personal, así como la exportación de esta información a través de las fronteras. Para que las empresas operen de manera efectiva en este entorno, deben comprender y cumplir con estas leyes de privacidad. Ejemplos de legislación de privacidad influyente incluyen la Ley de Protección de Información Personal y Documentos Electrónicos de Canadá (PIPEDA), la Directiva de Privacidad de Datos de la Unión Europea (UE) y las leyes de privacidad de Australia, Japón y Nueva Zelanda. La reciente legislación de privacidad del sector industrial de los Estados Unidos incluye la Ley Gramm-Leach Bliley (GLBA) para la industria financiera y la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) para la industria del cuidado de la salud. Los titulares de los artículos han demostrado que la privacidad y la protección de la información personal no es absoluta. Hay muchas noticias relacionadas con brechas de seguridad que involucran la pérdida o divulgación de información personal. Más importante aún, las juntas y los comités de auditoría quieren garantías en torno a los procesos de la organización que protegen la información privada. Los beneficios de los buenos controles de privacidad El buen gobierno implica identificar riesgos significativos para la organización, como un posible uso indebido, fuga o pérdida de información personal, y garantizar que se implementen los controles adecuados para mitigar estos riesgos. Para las empresas, los beneficios de buenos controles de privacidad incluyen: • Proteger la imagen pública y la marca de la organización. • Proteger los datos valiosos de los clientes y empleados de la organización. El papel del auditor interno en la protección de la privacidad Ta privacidad y protección de la información personal proporciona una plataforma convincente para que los auditores sean participantes activos para ayudar a su organización a abordar las preocupaciones y los riesgos de privacidad. Una función clave de los auditores internos es proporcionar una evaluación independiente de los controles de privacidad de la organización. “Figura 1.1 – Beneficios de la auditoría de privacidad” describe algunos de los beneficios de someterse a una auditoría de privacidad. 1 GTAG — Resumen ejecutivo — 1 Figura 1.1 – Beneficios de la auditoría de privacidad• Facilita el cumplimiento de la ley. • Mide y ayuda a mejorar el cumplimiento del sistema de protección de datos de la organización. • Aumenta el nivel de concienciación sobre la protección de datos entre la dirección y el personal. • Proporciona información para una revisión del sistema de protección de datos. • Mejora la satisfacción del cliente al reducir la probabilidad de errores que den lugar a una reclamación. Los auditores internos pueden contribuir a garantizar el buen gobierno y la rendición de cuentas desempeñando un papel en ayudar a una organización cumplir con sus objetivos de privacidad. El auditor interno está posicionado para evaluar el marco de privacidad de la organización e identificar los riesgos significativos junto con las recomendaciones apropiadas para su mitigación. Alcance de GTAG 5 Esta Guía de auditoría de tecnología global (GTAG) tiene como objetivo proporcionar al director ejecutivo de auditoría (CAE), a los auditores internos y a la gerencia información sobre los riesgos de privacidad que la organización debe abordar cuando recopila, usa, retiene o divulga información personal. Esta guía proporciona una descripción general de los marcos de privacidad clave para ayudar a los lectores a comprender los conceptos básicos y encontrar las fuentes correctas para obtener más orientación sobre las expectativas y lo que funciona bien en una variedad de entornos. También cubre cómo los auditores internos completan las evaluaciones de privacidad. 2 GTAG — Introducción — 2 2.1 ¿Qué es la privacidad? • Controlar para qué se utiliza la información. • Controlar quién tiene acceso a la información. • Modificar, cambiar y eliminar la información. La privacidad de la información, que combina la privacidad de las comunicaciones y los datos, generalmente se puede describir mediante los derechos y obligaciones de las personas y las organizaciones con respecto a la recopilación, el uso, la retención y la divulgación de información personal sobre una persona identificable que incluye cualquier información fáctica o subjetiva, registrada o no, en cualquier forma. En otras palabras, la privacidad de la información se puede mantener asegurando un tratamiento y protección adecuados de la información personal. La privacidad puede tener varios significados y, a menudo, se analiza en muchos contextos (ver “Figura 2.1 – Esferas de privacidad”). La privacidad se ha considerado durante mucho tiempo como un derecho humano básico en la mayoría de las sociedades. Puede ser visto como descriptivo o prescriptivo, como un interés moral o un derecho legal. Puede significar estar libre de la atención no deseada de otros o estar libre de observación o vigilancia. Puede ser libertad de intrusión o un estado de reclusión. Puede cubrirla privacidad de la comunicación así como la información. En su forma más simple, la privacidad se ha definido como “el derecho a que lo dejen en paz” (Warren/Brandeis, 1890). Figura 2.1 – Esferas de privacidad Informacion personal La información personal son datos que se pueden vincular o utilizar para identificar a una persona, ya sea directa o indirectamente. Algunos ejemplos de información personal son: • Nombre. • Domicilio o dirección de correo electrónico. • Identificadores como Seguridad Social, seguros sociales, pasaporte o números de cuenta. • Características físicas. • Registros de crédito. • Historial de compras del consumidor. • Archivos de empleados. • Privacidad personal – Privacidad física y psicológica. • Privacidad del espacio – Libre de vigilancia. • Privacidad de la comunicación: libertad de vigilancia e intercepción. • Privacidad de la información: control sobre la recopilación, el uso y la divulgación de información personal por parte de terceros. — Fuente: Instituto Canadiense de Colegiados Contadores (CICA), 2002 Las definiciones de privacidad en el entorno empresarial varían ampliamente según el país, la cultura, el entorno político y el marco legal. En muchos países, la privacidad está íntimamente ligada a la protección de datos. De particular importancia para las organizaciones es cómo se define la privacidad en su contexto. Ya sea usando una de las definiciones en la “Figura 2.2 – Definiciones de privacidad”, o simplemente definiendo privacidadcomo la protección de la recopilación, el almacenamiento, el procesamiento, la difusión y la destrucción de información personal, las muchas definiciones de privacidad son complementarias y pueden ser utilizadas por cualquier organización para guiar su programa de privacidad. Información sensible Parte de la información personal se considera información confidencial. Los ejemplos de información personal confidencial incluyen: • Registros médicos. • Información financiera. • Origen racial o étnico. • Opiniones políticas. • Creencias religiosas o filosóficas. • Afiliación sindical. • Información relacionada con delitos o condenas penales. Parte de la información, aunque no es personal por sí misma, se vuelve personal y confidencial cuando se combina con otra información. La información personal confidencial generalmente requiere un nivel adicional de protección y un mayor deber de cuidado. La implementación de una metodología de clasificación de datos que incluya información personal es una forma efectiva para que la organización aborde el nivel adecuado de protección y el deber de cuidado necesario. Proporciona orientación para ayudar a entregar y garantizar prácticas coherentes en toda la organización en función de la naturaleza de los datos. Figura 2.2 – Definiciones de privacidad “La privacidad es la protección de los datos personales y se considera un derecho humano fundamental”. — Directrices de la OCDE, 1980 “Los Estados miembros protegerán los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la intimidad con respecto al tratamiento de datos personales.” — Directiva de la UE, 1995 “Los derechos y obligaciones de las personas y organizaciones con respecto a la recopilación, el uso, la divulgación y la retención de información personal”. — Instituto Americano de Contadores Públicos Certificados (AICPA)/CICA, 2005 Información Anonimizada La información anónima sobre personas no se puede asociar con individuos específicos. Tal información se denomina información no personal. Esto incluye información personal estadística o resumida para la cual se desconoce la identidad del individuo o se ha eliminado el vínculo con el individuo. Cuando la identidad de una persona no puede determinarse a partir de la En el contexto comercial actual, la privacidad a menudo se refiere a la privacidad de la información personal sobre un individuo y la capacidad del individuo para: • Saber cómo se maneja su información personal. • Controlar la información recopilada. 3 GTAG — Introducción — 2 la información que queda, se considera "desidentificada" o "anonimizada". información adecuadamente presenta una serie de riesgos para la organización, incluyendo: • Posible daño a la imagen pública y la marca de la organización. • Posibles pérdidas financieras o de los inversores. • Responsabilidad legal o industrial o sanciones regulatorias. • Cargos de prácticas engañosas. • Desconfianza del cliente, ciudadano o empleado. • Pérdida de clientes o ingresos. • Relaciones comerciales dañadas. Protección de la privacidad La protección de la privacidad puede considerarse un proceso de establecimiento de un equilibrio adecuado entre la privacidad y múltiples intereses en competencia. Para minimizar la intrusión, maximizar la equidad y crear expectativas de privacidad legítimas y exigibles, en las últimas décadas ha evolucionado un conjunto de principios que rigen el procesamiento de la información personal de un individuo y un modelo de los roles de privacidad involucrados (ver “Figura 2.3 – Roles de privacidad”). . Los principios incluyen una combinación de conceptos sustantivos como la calidad de los datos, la integridad y la limitación del uso, con principios procesales como los conceptos de consentimiento y derechos de acceso. Controles de privacidad Proporcionar un gobierno y una supervisión adecuados por parte de los directores y la gerencia (es decir, tono en la parte superior) es un control esencial para abordar los riesgos de privacidad que enfrenta la organización. El DEA debe alentar a la gerencia ejecutiva a abordar cómo la organización administra, controla y protege la información personal que recopila sobre clientes y empleados con el comité de auditoría. Además, la organización debe evaluar el cumplimiento de la privacidad y las prácticas y debilidades del manejo de datos y compararlas con las políticas internas, las leyes y los reglamentos y las mejores prácticas. Es fundamental que la organización implemente un programa de privacidad efectivo que incluya: • Gobernanza de la privacidad y responsabilidad. • Una declaración de privacidad. • Políticas y procedimientos escritos. • Controles y procesos. • Funciones y responsabilidades. • Capacitación y educación de los empleados. • Seguimiento y auditoría. • Prácticas de seguridad de la información. • Planes de respuesta a incidentes. • Leyes y reglamentos de privacidad. • Planes de respuesta a problemas detectados y acciones correctivas. Figura 2.3 – Roles de privacidad Al implementar un programa de privacidad, hay roles importantes a considerar: • Titular de los datos–Persona física cuyos datos personales se controlan. • Control de datosr – Organismo o entidad que controla los datos personales. • oficial de privacidad–La función de contacto y supervisión de la privacidad de una organización. • comisionado de privacidad–La autoridad de supervisión gubernamental, generalmente a nivel federal o estatal. • Proveedores de servicio–En circunstancias en las que terceros estén involucrados en el procesamiento de datos. La forma en que una organización administra la información personal sobre clientes y empleados que recopila, usa, distribuye, almacena y protege es el núcleo del problema de privacidad para las empresas. Incidentes recientes de robo de identidad, mala gestión de la información personal y violación de los principios de privacidad han aumentado la presión regulatoria y de los consumidores sobre las organizaciones para desarrollar controles apropiados en relación con la privacidad, la gestión de datos y la seguridad de la información. Las organizaciones que no aborden adecuadamente los problemas de privacidad corren el riesgo de sufrir daños a largo plazo en su marca y reputación, pérdida de la confianza de los consumidores y empleados, acciones de cumplimiento y multas, y enjuiciamiento penal. Los controles adecuados pueden minimizaro evitar los riesgos para todas las partes involucradas. La auditoría interna puede desempeñar un papel importante en la identificación de riesgos, la evaluación de controles y la mejora de las prácticas de una organización con respecto a la privacidad de los empleados, clientes y ciudadanos. ILos auditores internos pueden contribuir al buen gobierno y la rendición de cuentas al ayudar a una organización a cumplir sus objetivos de privacidad. Las actividades específicas que los auditores internos podrían realizar en esta área incluyen: • Trabajar con un asesor legal para determinar qué leyes y reglamentos de privacidad serían aplicables a la organización. • Trabajar con la administración de tecnología de la información y los propietarios de procesos comerciales para evaluar si los controles de seguridad de la información y protección de datos están implementados y se revisan periódicamente. • Realización de evaluaciones de riesgos de privacidad o revisión de la eficacia de las políticas, prácticas y controles de privacidad en toda la organización. • Identificar los tipos de información personal recopilada, la metodología de recopilación utilizada y si el uso de la información por parte de la organización es 2.2 Gestión de riesgos de privacidad La privacidad es un problema de gestión de riesgos para las empresas y las organizaciones sin fines de lucro. Las encuestas continúan mostrando que los consumidores están preocupados por cómo las empresas usan su información personal. Incapacidad de la dirección para abordar la protección de los datos personales 4 GTAG — Introducción — 2 de acuerdo con su uso previsto. • Revisar las políticas, los procedimientos y las pautas que rigen los flujos de datos y los procedimientos de manejo diseñados para salvaguardar la privacidad de la información personal, con un enfoque en la identificación de oportunidades potenciales para estandarizar las prácticas de protección de datos en toda la organización. • Llevar a cabo una evaluación de las interacciones de los proveedores de servicios, incluida una revisión de los procedimientos y controles sobre los proveedores que administran información de identificación personal o datos confidenciales en nombre de la organización. • Revisar las prácticas y materiales de capacitación actuales, e inventariar los materiales de capacitación y concientización sobre privacidad disponibles y necesarios. • Realizar un análisis de brechas de flujos de datos y procedimientos de manejo contra políticas, leyes, regulaciones y mejores prácticas para la coherencia y el cumplimiento. Esto cubre las evaluaciones de los procesos automatizados y manuales para el manejo de información personal que identifica a las personas. Riesgos y acciones clave de privacidad Los auditores internos están posicionados para evaluar el marco de privacidad en su organización e identificar los riesgos significativos junto con las recomendaciones apropiadas para su mitigación. En la “Figura 2.4 – Matriz de acciones y riesgos de privacidad” se pueden encontrar ejemplos de riesgos de privacidad clave que los auditores internos deben abordar. Figura 2.4 – Matriz de riesgos y acciones de privacidad Riesgo de privacidad Comportamiento La organización no tiene una política de privacidad y elementos de marco de control relacionados. Discuta con la alta gerencia la necesidad de una política de privacidad documentada y el desarrollo de un programa de privacidad efectivo. La organización no está cumpliendo con su política de privacidad. Realice una revisión de las prácticas de privacidad de la organización para asegurarse de que la organización cumpla con los compromisos contraídos con los clientes en su aviso de privacidad. La organización no protege adecuadamente la información personal que recopila, usa, retiene y divulga. Llevar a cabo una revisión de las prácticas de seguridad de la información de la organización relacionadas con los controles administrativos, físicos y técnicos para garantizar que la información personal esté protegida adecuadamente. La organización no ha identificado los tipos de personal información que recopila, quién tiene acceso a ella o dónde se almacena. Mapear los flujos de datos del sistema de información personal recopilada, quién tiene acceso a la información personal y la necesidad comercial de dicho acceso. La organización no tiene una estructura de gobierno formal relacionada con el cumplimiento de la privacidad. Discuta con la alta gerencia o el comité de auditoría, si es necesario, la necesidad de una estructura de gobierno sobre el cumplimiento de la privacidad. La organización no tiene políticas internas de privacidad que mejoren la protección de la información personal. Revise las políticas, los estándares y los procedimientos actuales relacionados con la privacidad de la información personal para asegurarse de que aborden áreas como la clasificación de datos, la gestión de registros, la retención y la destrucción. La organización no ha establecido un marco de control o auditoría del cumplimiento. Incluya el cumplimiento de la privacidad en el inventario auditable basado en riesgos. Obtenga un inventario de las leyes y reglamentos que se aplican a la organización del departamento legal. Complete una auditoría de cumplimiento de privacidad. La organización no cuenta con un plan de respuesta a incidentes. Analice con la alta gerencia, incluidos los departamentos de tecnología de la información y legal, la necesidad de desarrollar un plan de respuesta a incidentes en caso de una violación de la información personal. La organización no ha llevado a cabo capacitación formal sobre seguridad de la información, manejo de datos o concientización sobre privacidad. Revise el material de capacitación y concientización sobre privacidad para determinar si satisface las necesidades de la organización. Revise los registros de capacitación para asegurarse de que los empleados que manejan o tienen acceso a la información personal hayan recibido la capacitación requerida. La organización no ha implementado un programa de administración de seguridad y privacidad de proveedores externos para crear un enfoque aplicado consistentemente para contratar, evaluar y supervisar las prácticas de privacidad de sus proveedores. Revise los contratos de proveedores externos para asegurarse de que contengan elementos clave de un contrato que incluyan requisitos de protección para la información personal, cláusulas de rescisión del contrato, destrucción de registros que contengan información personal y una cláusula de derecho a auditoría. Realice auditorías periódicas para garantizar que los proveedores externos cumplan con los términos del contrato. 5 GTAG — Principios y marcos de privacidad — 3 El deseo de privacidad surge de necesidades divergentes, según el tiempo, el lugar, la situación y el interés de un individuo u organización. Se produjo un cambio de paradigma con la difusión del procesamiento de datos computarizados y las redes de comunicación global: los ciudadanos y los consumidores se volvieron casi completamente transparentes, lo que generó oportunidades emocionantes y experiencias asombrosas, pero también amenazó los cimientos de la sociedad y los negocios. Las organizaciones de hoy tienen el beneficio de varias décadas de experiencia con conceptos de privacidad en un mundo computarizado y en red. Los auditores internos desempeñan un papel para garantizar que se implementen los controles adecuados, que los controles funcionen de manera confiable, pero también que las organizaciones utilicen la información de manera eficiente y efectiva para lograr sus objetivos. Se han desarrollado muchos marcos. Algunos son obligatorios y otros brindan orientación discrecional para el procesamiento de información personal. En esta sección se analizarán los principales marcos disponibles. (APEC). La ley ómnibus nacionalgeneralmente tiene como objetivo equilibrar las relaciones entre el gobierno y los ciudadanos, así como las relaciones entre las empresas y los consumidores. Los problemas de privacidad se hicieron evidentes con la llegada de la informatización. La Asamblea General de la ONU retomó el tema en 1968 y encargó una investigación para comprender las amenazas a la privacidad y las posibles contramedidas. Esta conciencia global fue seguida por las primeras leyes federales integrales de privacidad en Suecia en 1973. Alemania hizo lo mismo un año después y Francia estableció leyes de privacidad en 1978. En 1980, los estados miembros de la OCDE acordaron prácticas justas de información e impusieron restricciones a la recopilación, uso y divulgación de información personal. Estas prácticas incluyen: • Limitar la recopilación y el uso de información personal para los fines previstos. • Garantizar la calidad y precisión de los datos. • Establecimiento de salvaguardas de seguridad. • Ser abierto y transparente sobre las prácticas y políticas relativas a los datos personales. • Permitir el acceso de las personas a sus datos personales y la posibilidad de corregirlos. • Identificar a las personas responsables del cumplimiento de estos principios. 3.1 Principios de privacidad El enfoque de los principios de privacidad varía: los regímenes transnacionales tienen una perspectiva más de derechos humanos, como la presentan las Naciones Unidas (ONU) y el Consejo de Europa (CoE), o una lógica más orientada al libre comercio, como la presentan la OCDE y la Cooperación Económica Asia-Pacífico Figura 3.1 – Principios de PIPEDA 1.Responsabilidad: Una organización es responsable de la información personal bajo su control y deberá designar a una persona o personas que sean responsables del cumplimiento por parte de la organización de los siguientes principios. 2.Identificación de propósitos: La organización identificará los fines para los cuales se recopila la información personal en el momento en que se recopila la información o antes. 3.Consentir: Se requiere el conocimiento y consentimiento del individuo para la recopilación, uso o divulgación de información personal, excepto cuando sea inapropiado. 4.Limitación de la colección: La recopilación de información personal se limitará a la que sea necesaria para los fines identificados por la organización. La información se recopilará por medios justos y legales. 5.Limitación del uso, divulgación y retención: La información personal no se utilizará ni divulgará para fines distintos de aquellos para los que se recopiló, excepto con el consentimiento de la persona o según lo exija la ley. La información personal debe conservarse solo mientras sea necesario para el cumplimiento de esos fines. 6.Exactitud: La información personal deberá ser tan precisa, completa y actualizada como sea necesario para los fines para los que se utilizará. 7.salvaguardias: La información personal estará protegida por salvaguardas de seguridad que sean apropiadas a la sensibilidad de la información. 8.Franqueza: Una organización debe poner a disposición de las personas información específica sobre sus políticas y prácticas relacionadas con la gestión de la información personal. 9.Acceso Individual: Previa solicitud, se informará a una persona de la existencia, el uso y la divulgación de su información personal y se le dará acceso a esa información. Una persona podrá cuestionar la exactitud e integridad de la información y hacer que se modifique según corresponda. 10Cumplimiento desafiante: Una persona deberá poder plantear un desafío relacionado con el cumplimiento de los principios anteriores a la persona o personas designadas responsables del cumplimiento de la organización. 6 GTAG — Principios y marcos de privacidad — 3 Los principios de privacidad de la OCDE son la limitación de la recopilación, la calidad de los datos, la especificación del propósito, la limitación del uso, las garantías de seguridad, la apertura, la participación individual y la responsabilidad. El Código modelo para la protección de información personal de la Canadian Standards Association de 1996, ahora incorporado a la legislación nacional (PIPEDA), proporciona una consolidación integral de los principios de privacidad (consulte la “Figura 3.1 – Principios de PIPEDA” en la página anterior). Los principios de la Ley de Protección de Datos del Reino Unido de 1984/1998 también establecen que los datos personales deben ser: • Procesado de manera justa y legal. • Procesado para propósitos limitados. • Adecuado, pertinente y no excesivo. • Preciso. • No se conserva más tiempo del necesario. • Procesados de acuerdo con los derechos del titular de los datos. • Seguro. • No transferidos a jurisdicciones sin protección adecuada. Dichos principios de privacidad se consideran esenciales para la adecuada protección y gestión de la información personal. Brindan orientación para los auditores internos encargados de revisar las prácticas de privacidad. ¿Cuáles son las implicaciones para la auditoría interna y la gestión de las organizaciones auditadas? Los auditores deben conocer y comprender los marcos aplicables y si la organización está sujeta a, o se espera que siga, algún marco específico al brindar garantías sobre los controles y riesgos de privacidad. Las secciones restantes de este capítulo brindan una descripción general de los marcos clave que describen los conceptos básicos de privacidad, así como información sobre los recursos apropiados para obtener más orientación, más detalles sobre las expectativas y lo que funciona bien en una amplia variedad de lugares y situaciones. Marcos transnacionales no vinculantes Inicialmente, se establecieron marcos transnacionales no vinculantes para garantizar el libre flujo de información entre los países afiliados a las organizaciones. Las Directrices del Consejo de la OCDE que rigen la protección de la privacidad y los flujos transfronterizos de datos personales se crearon en 1980 para establecer un terreno común para el libre flujo transfronterizo de datos entre los 24 miembros de la OCDE. Aunque no es legalmente vinculante, el conjunto de principios de tecnología neutral y ampliamente aplicable fue ampliamente aceptado con el tiempo. Los comités de la OCDE publican regularmente informes de investigación en el área de privacidad y protección de datos. En 1990, 10 años después de la publicación de la directriz de la OCDE, la Asamblea General de la ONU emitió sus Directrices sobre los archivos informatizados de datos personales, basadas en los derechos humanos, que los estados miembros deben tener en cuenta al implementar la legislación nacional de protección de datos. Las directrices recomiendan que los estados miembros proporcionen garantías básicas de privacidad de la información a sus ciudadanos y un conjunto de garantías mínimas para el procesamiento de datos personales comparables a los principios de la OCDE. También solicitan autoridades de control y abordan datos personales procesados por instituciones internacionales. En 2004, se desarrolló el Marco de Privacidad de APEC y es consistente con los valores fundamentales de las directrices de la OCDE. Su objetivo es brindar orientación y dirección a las empresas en las economías de APEC sobre problemas comunes de privacidad y el impacto que estos problemas tienen en la forma en que se realizan los negocios. 3.2 Marcos de privacidad Ha surgido una amplia variedad de marcos de privacidad desde 1968, cuando la ONU reconoció que la privacidad electrónica se convertiría en un problema global. Desde un punto de vista técnico y legal, dichos marcos van desde vinculantes y voluntariamente aplicables hasta regímenes. Algunas son de aplicación mundial y otras son normas individuales. Además, los individuos y las organizaciones pueden aplicar el sentido común, seguir la legislación o pronunciar cómo planean respondera posibles inquietudes sobre privacidad mediante declaraciones grupales o individuales (consulte la “Figura 3.2: Normas de privacidad”). Figura 3.2 – Normas de privacidad Marcos transnacionales jurídicamente vinculantes Algunos regímenes regionales, a saber, el Convenio 108 del Consejo de Europa y la Directiva 95/46/CE de la UE, son instrumentos jurídicos vinculantes. El Convenio 108 del Consejo de Europa para la protección de las personas con respecto al procesamiento automático de datos personales, publicado el 28 de enero de 1981, obliga a más de 30 signatarios a implementar los principios de privacidad del convenio en su legislación nacional. Luego, las personas pueden apelar ante un tribunal del CoE en caso de que sus derechos no estén suficientemente protegidos a nivel nacional. Los principios de privacidad de la convención son comparables a la directriz de la OCDE de 1980, con garantías adicionales requeridas para datos confidenciales. La Directiva de la UE 95/46/EC sobre la protección de las personas con respecto al procesamiento de datos personales y sobre la libre circulación de dichos datos, publicada el 24 de octubre de 1995, tiene como objetivo homogeneizar los regímenes nacionales de los estados miembros de la UE para simplificar transferencias de datos y fortalecer Tipología Alcance • Sentido común, ética. • Global. • Constitucional. • Regionales. • Legislativo. • Ómnibus Nacional. • Reglas y regulaciones. • Sector, industria. • Soft law, autorregulación. • Individual. • Sellos, certificados. • Marcos - en todos los niveles. • Aplicación de marcos. • Compromiso de desempeño. 7 GTAG — Principios y marcos de privacidad — 3 derechos de los individuos. Contiene principios de privacidad más amplios y detallados que las directrices de la OCDE, así como disposiciones adicionales sobre datos confidenciales, divulgación, registro y derechos de exclusión voluntaria y compensación. Otorga a los órganos de control independientes facultades de investigación, facultades de intervención y la capacidad de entablar procedimientos judiciales. Una directiva posterior regula el procesamiento de datos personales en las telecomunicaciones. marcos y expectativas para evaluar las prácticas y asesorar adecuadamente a la gerencia. Marcos no gubernamentales Una amplia variedad de marcos se originan en asociaciones profesionales, proveedores de servicios, vendedores, organismos de estandarización y otros grupos de interés. Algunas leyes de privacidad, como las de Australia, prevén que los organismos de supervisión respalden códigos de privacidad autorreguladores que pueden volverse legalmente vinculantes después de su revisión y publicación. Las leyes también pueden sugerir auditorías de privacidad y sellos para sistemas o servicios, como la Ley Federal de Privacidad de Alemania de 2003. Legislación nacional La legislación nacional se produce en forma de leyes ómnibus y regulación sectorial. Las leyes ómnibus son generalmente leyes del sector público o privado, ya que las salvaguardas de los ciudadanos contra la acción gubernamental intrusiva tienden a ser más fuertes que las intervenciones legalistas para equilibrar el interés privado. En este GTAG no se cubre una revisión detallada de la legislación nacional; sin embargo, se pueden encontrar descripciones generales y enlaces en los sitios web de varios comisionados de privacidad e iniciativas de privacidad global (consulte las páginas 30 a 32 del Apéndice). El mosaico de leyes nacionales (ver “Figura 3.3 – Leyes de Protección de Datos”) tiene implicaciones significativas para los auditores internos. Deben comprender qué leyes se aplican y ser capaces de comparar las prácticas existentes con todos los marcos legales que se aplican o podrían aplicarse. En muchos casos, por ejemplo, cuando se brindan servicios a través de Internet, la limitación a un marco específico no será posible. En esas situaciones, los auditores internos deben consultar con un asesor legal interno para desarrollar una comprensión orientada al control de las prácticas generales, Organismos de Normalización La Organización Internacional de Estandarización (ISO), el Instituto Nacional Estadounidense de Estándares (ANSI), la Asociación de Estándares de Canadá, Standards Australia y muchos otros organismos han desarrollado marcos de privacidad. El Código modelo para la protección de la información personal (Q830) de la Asociación de Normas de Canadá establece 10 principios que equilibran los derechos de privacidad de las personas y los requisitos de información de las organizaciones privadas. Los elementos clave del código de privacidad se han incorporado a la PIPEDA canadiense. ANSI X9.99:2004 (Estándar de evaluación de impacto de privacidad para la industria de servicios financieros) tiene como objetivo respaldar la implementación de la GLBA de EE. UU. de 1999. El estándar reconoce que una evaluación de impacto de privacidad (PIA) es un importante Figura 3.3 – Leyes de Protección de Datos (Deloitte/IIA 2004) 8 GTAG — Principios y marcos de privacidad — 3 herramienta de gestión que debe ser utilizada dentro de una organización o por terceros para identificar y mitigar los problemas de privacidad y los riesgos asociados con el procesamiento de datos del consumidor utilizando sistemas de información en red automatizados. El estándar PIA describe la actividad de evaluación del impacto en la privacidad, define los componentes comunes de un PIA y explica cómo mejorar la calidad de los sistemas comerciales basados en los PIA. Standards Australia ha desarrollado AS 2805.9-2000: Transferencia electrónica de fondos - Requisitos para las interfaces - Privacidad de las comunicaciones, que especifica métodos para proteger contra la divulgación de la información contenida en ciertos mensajes electrónicos. Standards Australia también desarrolló AS 4721-2000: Prácticas de privacidad personal para la industria de peaje electrónico, que describe métodos de operación y modos de conducta comercial que deben adoptar los operadores de sistemas electrónicos de cobro de peaje y sistemas electrónicos de gestión de estaciones de estacionamiento para proteger la privacidad personal. de sus clientes El Proyecto de la plataforma para las preferencias de privacidad (P3P) es un proyecto de estandarización técnica del World Wide Web Consortium (W3C) que proporciona un estándar para declarar y negociar políticas de privacidad entre los operadores de sitios web y los usuarios de la web. El estándar proporciona una forma simple y automatizada para que los usuarios obtengan más control sobre el uso de la información personal en los sitios web que visitan. Marcos comerciales International Security Trust and Privacy Alliance (ISTPA) es un ejemplo de una alianza global de empresas y proveedores de tecnología cuyo objetivo es proporcionar una investigación y evaluación objetivas de estándares, herramientas y tecnologías de privacidad, y definir un marco de privacidad para crear soluciones tecnológicas. El marco de privacidad de ISTPA se puede utilizar como guía para desarrollar soluciones operativas a los problemas de privacidad y como una herramienta analítica para evaluar la integridad de las soluciones propuestas. Asociaciones de marketing como la Asociación Australiana de Marketing Directo (ADMA), la Asociación de Marketing Directo de EE. UU. (DMA) y organismos comparables en otras regiones han desarrollado la autorregulación para guiar a sus miembros y aumentar la aceptación de sus negocios por parte de las personas, así como los derechos de los consumidores. defensores Sellos de Privacidad Muchas organizaciones que realizan negocios en línea utilizan sellos de privacidad para ganarse la confianza de los clientes. Un sello de privacidad es un símbolo identificable otorgado a un operador web por un programa de aplicación de terceros para indicar que el operador web ha implementadoprácticas de privacidad efectivas y las cumple. Según la organización Online Privacy Alliance (OPA), las características de un programa de sello de privacidad ofrecido por un proveedor de sellos deben incluir: adopción ubicua; suficiente exhaustividad para abordar información confidencial y no confidencial; accesibilidad al usuario; y asequibilidad. El proveedor también debe poder buscar vías para mantener la integridad del sello, y debe tener la profundidad para manejar consultas y quejas. Algunas organizaciones conocidas que brindan un sello de privacidad incluyen TRUSTe, BBBOnline y Webtrust. TRUSTe proporciona un sello de privacidad web a las organizaciones que completan una autoevaluación de privacidad, participan en una auditoría del sitio web y aceptan la supervisión continua y la resolución de disputas. El Programa de privacidad de BBBOnLine otorga un sello de privacidad a las empresas que cumplen con los requisitos del programa, tales como: • Publicar un aviso de privacidad en línea que incluya un compromiso con la privacidad y la seguridad de los datos y explique cómo se recopila y utiliza la información, cómo acceder o corregir la información y cómo comunicarse con la organización. • Completar una evaluación integral de la privacidad. • En proceso de seguimiento y revisión por parte de la organización BBBOnline. • Participar en el sistema de resolución de disputas del consumidor del programa. WebTrust es un sello AICPA/CICA que requiere una auditoría de contador público certificado (CPA) o contador colegiado (CA). Incorpora principios y criterios relacionados con respecto a la seguridad, disponibilidad, integridad del procesamiento, privacidad y confidencialidad. Cada uno de estos principios y criterios se organizan en cuatro áreas: políticas, comunicaciones, procedimientos y seguimiento. Marcos profesionales El AICPA/CICA desarrolló un marco integral de privacidad que incluye un conjunto de Principios de privacidad generalmente aceptados (GAPP), cuyo objetivo es ayudar a las organizaciones con sus programas de privacidad. El marco GAPP se desarrolló desde una perspectiva comercial y hace referencia a importantes regulaciones de privacidad nacionales e internacionales. Cada uno de sus 10 principios está respaldado por criterios objetivos y medibles que deben cumplirse. Los principios son la gestión, la notificación, la elección y el consentimiento, la recopilación, el uso y la conservación, el acceso, la divulgación, la seguridad, la calidad y el control y la aplicación. Los GAAP son útiles para quienes supervisan y controlan los programas de privacidad e implementan y administran la privacidad o la seguridad. También se pueden utilizar para la evaluación comparativa, el diseño y la implementación de políticas y la medición del desempeño. El marco GAPP es un gran recurso para los auditores internos encargados de evaluar el cumplimiento o auditar los programas de privacidad o seguridad (consulte el Apéndice, página 28, para AICPA/CICA GAPP). Las normas de la Federación Internacional de Contadores (IFAC) relacionadas con los compromisos de privacidad están cubiertas por las Normas Internacionales sobre Compromisos de Aseguramiento (ISAE) 3000. La ISAE establece principios básicos y procedimientos esenciales para los contadores profesionales en la práctica pública para el desempeño de compromisos de aseguramiento que no sean auditorías o revisiones de estados financieros históricos. La ISAE 3000 cubre áreas tales como requisitos éticos, control de calidad, aceptación y continuación del trabajo, planificación y ejecución del trabajo, obtención de evidencia y preparación del informe de aseguramiento. 9 GTAG — Privacidad y negocios — 4 Este capítulo revisa el impacto de los problemas de privacidad, las amenazas, los riesgos y los mecanismos básicos de control necesarios para la mitigación en organizaciones comerciales, sin fines de lucro y gubernamentales. Las organizaciones comerciales tienen tres grupos principales de partes interesadas: propietarios/prestamistas, empleados/personal y clientes/público en general. Las organizaciones sin fines de lucro cuentan con mecanismos de supervisión para administrar sus actividades de recaudación de fondos, en lugar de que los propietarios asuman esta responsabilidad. Las organizaciones gubernamentales atienden a ciudadanos y no ciudadanos y también pueden tener clientes. En todos los casos, el buen gobierno recomienda que las organizaciones consideren los riesgos de privacidad, incluso cuando pueden estar basados en razones bastante divergentes, desde derechos constitucionales hasta buenas prácticas comerciales. Amenaza, Riesgo e Impacto”). Las fallas en la privacidad tendrán consecuencias con respecto a la función comercial, la reputación, las finanzas y el individuo. Amenazas a Organizaciones Las organizaciones enfrentan la amenaza y el riesgo más tangibles: se dan cuenta de las consecuencias de las fallas en la privacidad casi de inmediato. El impacto a nivel organizacional a menudo alcanza un alto nivel de asistencia de la prensa, las autoridades supervisoras y los guardianes de la privacidad. Las amenazas funcionales restringen la capacidad de una organización para lograr sus objetivos, provocan interrupciones operativas, ineficiencia o ineficacia. Las amenazas a la reputación de una organización limitan su futura capacidad de desempeño al disminuir la capacidad de respuesta de los consumidores, clientes o ciudadanos. Si bien las amenazas y los riesgos de privacidad limitan la capacidad de desempeño de una organización, se puede obtener una ventaja competitiva al administrar las amenazas y los riesgos de privacidad de manera efectiva. Los impactos financieros en una organización son de mayor interés para las partes interesadas; son principalmente una consecuencia de problemas funcionales y de reputación relacionados con los riesgos de privacidad. Los impactos en la sociedad son el resultado de un desempeño insuficiente, pérdidas financieras y efectos adversos en los miembros de la sociedad. 4.1 Impactos sobre la privacidad Las organizaciones utilizan la información personal de un individuo para diversas actividades comerciales, como estudios de mercado, calificaciones de clientes, gestión de derechos, marketing directo y comercio de datos. También puede ser de interés para la comunidad, los amigos, la familia y la red profesional de la persona. La información personal también puede ser recopilada y utilizada por gobiernos nacionales y extranjeros, competidores, empleados descontentos, piratas informáticos, terroristas cibernéticos, saboteadores, ladrones de identidad y similares. Las amenazas a los interesados requieren que las organizaciones protejan la información personal adecuadamente, evitando consecuencias adversas y litigios. 4.2 Modelo de riesgo de privacidad Amenazas a las partes interesadas Si bien la implementación de prácticas y controles de privacidad excesivos puede restringir las eficiencias de procesamiento interno y externo de una organización, las partes interesadas generalmente enfrentan riesgos mucho mayores debido a daños en la reputación y litigios, lo que reduce el valor y la rentabilidad de su inversión. Las prácticas de privacidad adecuadas son importantes para asegurar el valor de las inversiones de las partes interesadas en una corporación. Los riesgos de privacidad resultan de la recopilación, el uso, la retención y la divulgación de la información personal de las personas en sus roles de consumidor, cliente, socio, cliente, trabajador, paciente, beneficiario, afiliado o ciudadano. Si bien es importante comprender las amenazas resultantes para las personas, la gerencia y los auditores internos centrarán la evaluación principalmente en las amenazas potenciales para la organización frente al gobierno, las partes interesadas, los gerentes, el personal o los proveedores de servicios.Las amenazas y los riesgos de privacidad se pueden analizar mediante un modelo en capas que representa a la organización, las partes interesadas, el individuo y la sociedad (como se muestra en la “Figura 4.1 – Categorización de la privacidad Amenazas a Individuos Las personas a menudo se enfrentan a las consecuencias directas de las amenazas a la privacidad. Pueden soportar costos adicionales, experimentar discriminación o tener opciones limitadas a menos que pongan su esfera privada bajo un riesgo excesivo al ofrecer sus datos a vendedores y proveedores de servicios. Al buscar un nuevo empleo, las personas envían currículos detallados a portales, consultores o empleadores potenciales, quienes pueden usar su información personal para otros fines sin el consentimiento o el conocimiento de la persona. La información personal puede procesarse a través de técnicas de selección y creación de perfiles, que pueden ser intrusivas, injustas, poco confiables o causar efectos adversos para el individuo. El monitoreo por parte del empleador del teléfono, el correo, las computadoras y el espacio de la oficina es una práctica común. Las personas confían en la confidencialidad de su comunicación y espacio cuando no están informadas sobre las prácticas de monitoreo. Un individuo no tiene mucho poder para desafiar las prácticas de privacidad de las empresas o los gobiernos u obtener Figura 4.1 – Categorización de amenazas a la privacidad, Riesgo e impacto 10 GTAG — Privacidad y negocios — 4 indemnización por daños y perjuicios. Este desequilibrio es la causa principal de la regulación de la privacidad para proteger a las personas. para la recopilación, uso, divulgación y retención de información personal. Estas evaluaciones y servicios de consultoría pueden incluir: • Buscar impulsores de riesgo de privacidad, incluida la identificación de la información personal recopilada, las consecuencias específicas para la organización y un marco de privacidad para aplicar. • Identificar prácticas o marcos de actividades comparables del sector público o privado que podrían aplicarse. • Rastrear las interfaces del sistema que procesan información personal y evaluar la base y la eficacia de cualquier intercambio, así como las posibles exposiciones al interesado y la organización. • En consulta con el asesor legal interno, determinar si la recopilación y el intercambio de información personal es excesivo y está más allá de los límites del propósito del procesamiento. • En consulta con el asesor legal interno, evaluar las exposiciones a la privacidad causadas por la transferencia transnacional de datos y determinar amenazas específicas, el riesgo para la organización y si existen controles adecuados. Figura 4.2 – Riesgos de privacidad al procesar datos personales • Cobro excesivo. • Información incompleta. • Datos dañados. • Información desactualizada. • Controles de acceso inadecuados. • Compartir en exceso. • Tramitación incorrecta. • Uso inadecuado. • Divulgación indebida. Amenazas a la sociedad El desarrollo económico y social requiere un grado relativamente alto de libertad individual. Se puede manipular a sociedades enteras para que tomen medidas indeseables si el poder de los ciudadanos y el gobierno no se equilibran adecuadamente. Los científicos del comportamiento han observado que los ciudadanos solo pueden ejercer su poder de manera efectiva si pueden mantener una esfera privada mínima y pueden comunicarse libremente dentro de su comunidad. Por lo tanto, la mayor amenaza para la sociedad sería el control sobre los ciudadanos individuales, derrotando el progreso social, la adaptación y los mecanismos de estabilización (consulte la Figura 4.3: Amenazas y oportunidades de privacidad a continuación). Gobierno y Ciudadano Una gran variedad de instituciones gubernamentales recopilan, almacenan e intercambian datos vinculados a personas. Los interesados y los titulares de los datos se enfrentan a la amenaza constante de que la información personal se utilice indebidamente, se pierda o se robe de vastos archivos gubernamentales. La regulación especial del sector público determina cómo tratar la información personal. En muchos países existen leyes generales para los diferentes niveles de las entidades públicas. Otros países tienen reglas que se aplican caso por caso. Por lo tanto, los auditores del gobierno deben concentrarse en una amplia variedad de registros y programas, por ejemplo, registros de bienes raíces, registros de votantes, censos y encuestas de opinión, registros de impuestos, archivos de seguridad nacional e información recopilada para programas de bienestar y trabajo social, educación, y aplicación de la ley. 4.3 Problemas del sector y la industria Es fundamental que los auditores comprendan el marco legal en el que opera la organización y tengan en cuenta todas las leyes, reglamentaciones y otras orientaciones sectoriales pertinentes. También es importante que el auditor interno consulte con un asesor legal interno cuando realice actividades de evaluación o consultoría relacionadas con el programa y las prácticas de privacidad de la organización. Figura 4.3 – Amenazas y oportunidades de privacidad amenazas Oportunidades • Litigio. • Publicidad negativa. • Pérdidas financieras, costo adicional. • Interrupciones operativas. • Falla de mercado. • Inteligencia de mercado. • Reducción de costo. • Comunicación efectiva. • Ventaja competitiva. Organizaciones • Costo externalizado. • Vigilancia. • El robo de identidad. • Correo basura. • Restricciones de los derechos civiles. • Servicios personalizados. • Productos más baratos. • Ofertas dirigidas. • Construcción de redes. Individuos 11 GTAG — Privacidad y negocios — 4 Vida Comunitaria y Seguridad Social Muchas instituciones de seguridad social (aseguradoras, programas de bienestar público, programas de trabajo social y otras organizaciones sin fines de lucro) mantienen bases de datos importantes y sensibles para realizar sus actividades. En muchos casos, se aplicarían regulaciones generales del sector público o privado. Algunas instituciones, como las iglesias, por ejemplo, pueden estar exentas de los marcos legales generales, lo que puede conducir a un régimen de privacidad débil. Los datos confidenciales se almacenan y procesan en muchos casos. Las comunidades tienen un alto riesgo de perder la confianza de sus miembros cuando tratan los datos personales de manera inapropiada. Los sistemas gubernamentales y de seguridad social pueden causar exposiciones adicionales a través de la coincidencia de datos excesiva o inapropiada, o la comparación de datos personales de una variedad de fuentes. A menudo, existen reglas, leyes y acuerdos específicos que determinan en qué circunstancias y en qué medida es legítimo comparar y compartir datos. Otro problema que surge de la coincidencia de datos y las filtraciones de datos son los identificadores (ID) que podrían abusarse para recopilar y comparar datos, manipular o robar una identidad. cy cuestiones sobre la capacidad de rastrear a las personas. Los datos se recopilan constantemente de muchas fuentes e incluyen datos transaccionales, datos compartidos con otras organizaciones, datos recopilados de personas o fuentes públicas y datos comprados a intermediarios de información. La información se puede utilizar para determinar y contactar a clientes potenciales, para definir grupos de clientes utilizando minería de datos o para crear perfiles detallados para satisfacer necesidades e intereses individuales. Las asociaciones sectoriales ofrecen varios códigos de conducta para las empresas comercializadoras. Por ejemplo, la ADMA proporciona un Código de conducta de autorregulación que cubre los principios de privacidad que todos los miembros de la ADMA deben considerar y abordar (consulte la "Figura 4.4: Código de conducta de marketing directo"). Comunicación y Medios La comunicacióny la privacidad de los medios incluyen la capacidad de mantener la confidencialidad de la información personal, así como la libertad de acceder a los medios y canales de comunicación. Más allá de eso, la información personal es capturada por los registros de clientes, suscriptores y prestamistas. La totalidad de dichos datos se puede utilizar para derivar preferencias y perfilar a las personas. Los datos transaccionales adicionales proporcionan un depósito de información personal relacionada con los patrones de compra y utilización, incluidos los socios de comunicación, la hora, la ubicación y el contenido. Esto puede causar problemas, como SPAM, espionaje, divulgación inesperada de comunicaciones y contenido, y vigilancia gubernamental excesiva. Servicios financieros Las organizaciones de servicios financieros como bancos, emisores de tarjetas de crédito, fondos y aseguradoras mantienen una gran cantidad de información personal confidencial, que incluye calificaciones crediticias, ingresos, patrones de gastos, lugar de residencia e historial crediticio. Como resultado, existen muchas regulaciones y/o órganos de control activos. Servicios públicos, transporte y viajes El uso de las utilidades alguna vez fue simplista y anónimo; una moneda cayó en un medidor de electricidad o en una estación de peaje, o se perforó un papel cuando alguien quería viajar en el autobús. Sin embargo, los sistemas actuales son sofisticados y están interconectados. Cuando una persona pasa por un puente de peaje, se registra su matrícula y se carga la tarjeta de crédito. Otro sistema registra el vehículo cuando ingresa a un estacionamiento cinco minutos después. Estos sistemas integrados pueden generar perfiles detallados de personas al comparar los datos de los sistemas de control de tráfico y acceso con más información transaccional. Muchos países prevén la necesidad de establecer salvaguardias adicionales o hacer referencia a disposiciones constitucionales para evitar la recopilación excesiva de datos personales para proteger la privacidad de los ciudadanos y consumidores en estas circunstancias. Marketing y Venta al por menor La industria del marketing y la venta al por menor es un extenso recopilador, usuario y distribuidor de información personal. Los datos que se conservan con fines comerciales y minoristas pueden abarcar desde listas de direcciones hasta perfiles detallados de consumidores, información financiera e historiales de compras. Por ejemplo, cuando una persona realiza una compra, su cuenta puede debitarse inmediatamente, con un registro de la transacción que muestre la fecha, la hora, la ubicación y el proveedor. El sistema de gestión de existencias del minorista captura y conserva electrónicamente el artículo, el tamaño, el color y las identificaciones de los clientes. Además, comienzan a aparecer mecanismos de rastreo y etiquetado, como las tecnologías de identificación por radiofrecuencia, lo que aumenta la privacidad. Figura 4.4 – Marketing directo de ADMA Código de conducta Salud e Investigación El cuidado de la salud requiere y produce información sensible sobre los pacientes. La información personal es necesaria para la investigación clínica, los servicios médicos, las pruebas médicas y el control de enfermedades. En los Estados Unidos, la legislación HIPAA se promulgó en 1996 para proteger la información personal de los pacientes y se aplica a planes de salud, cámaras de compensación de atención médica, proveedores de atención médica y empleadores. (Consulte la “Figura 4.5: Regla de privacidad de la HIPAA de EE. UU. de 2003” en la página 13). Otros países tienen leyes integrales similares que se aplican. Principios de privacidad • Recopilación. • Uso y divulgación. • Calidad de los datos. • Seguridad de datos. • Apertura. • Acceso y corrección. • Identificadores. • Anonimato. • Flujos de datos transfronterizos. • Información sensible. 12 GTAG — Privacidad y negocios — 4 Acuerdos de puerto seguro (como el de la “Figura 4.7 – Acuerdo de puerto seguro de EE. UU./UE de 2000”), reconocimiento mutuo de instrumentos legales, autorregulación y, en algunos casos, la referencia a regulaciones generales como las directrices de la OCDE y el Consejo de Europa, proporcionar una base para los regímenes de privacidad para abordar las transferencias internacionales de datos. La Cámara de Comercio Internacional (ICC), la UE y otros organismos proporcionan contratos modelo para garantizar salvaguardias de privacidad generalmente aceptadas cuando las empresas intercambian datos personales a través de las fronteras. Figura 4.5 – Norma de privacidad de la HIPAA de EE. UU. de 2003 El objetivo de HIPAA es mejorar la eficiencia y la eficacia de los sistemas de atención médica al facilitar el intercambio electrónico de información y reconocer los desafíos a la confidencialidad de la información médica. HIPAA: • Protege toda la información de salud identificable individualmente. • Define y limita las circunstancias en las que se puede usar o divulgar la información de salud de una persona. • Requiere autorización por escrito para cualquier uso o divulgación de información médica protegida que no sea para tratamiento, pago u operaciones de atención médica y que la Regla de privacidad no permita o exija de otro modo. • Limita los usos y divulgaciones al mínimo necesario. • Requiere el desarrollo e implementación de políticas y procedimientos que restrinjan el acceso y los usos. • Requiere proporcionar un aviso de sus prácticas de privacidad, incluido un punto de contacto para obtener más información y presentar quejas. • Otorga a las personas el derecho de revisar y obtener una copia de su información de salud protegida. • Otorga a las personas el derecho a una rendición de cuentas por las divulgaciones de su información de salud protegida. • Requiere medidas de seguridad administrativas, técnicas y físicas para evitar el uso o la divulgación intencional o no intencional. Figura 4.7 – Acuerdo de puerto seguro entre EE. UU. y la UE de 2000 Autocertificación del titular de los datos según siete principios establecidos por el Departamento de Comercio de EE. UU.: • Principio de notificación. • Principio de elección. • Transferencia posterior. • Seguridad. • Integridad de los datos. • Principio de acceso. • Principio de ejecución. 4.4 Marco de Control de Privacidad Las actividades básicas del marco de control de la privacidad incluyen el establecimiento de objetivos, el establecimiento de políticas y procedimientos, y el establecimiento de mecanismos de seguimiento y mejora. El establecimiento de objetivos es importante para garantizar que una organización sea consciente de sus necesidades de privacidad y pueda implementar y monitorear los procedimientos requeridos en todos los niveles. Se requieren políticas y procedimientos de la organización para establecer una estructura para liderar y coordinar los esfuerzos operativos y relacionados con la privacidad. Los mecanismos de seguimiento y mejora son necesarios para aprovechar la experiencia y adaptar los objetivos y dirigir la organización en un entorno cambiante. Negocios Internacionales Muchas leyes y reglamentos exigen que la información personal de las personas no salga de la zona regulada. Estas reglas ayudan a abordar la preocupación sobre la pérdida de control cuando la información personal se transfiere a otra jurisdicción legal. Las organizaciones que transfieren dichos datos están sujetas a vergüenza significativa, daño a la reputación o pérdidas financieras si la información no se administra correctamente. Esto crea serios desafíos en un mundo de sistemas en red, donde la información se transporta a través de las fronteras dentro de una organización, o entre socios comerciales que usan y procesan información personal a nivel transnacional. Aplicación de modelos de control a la gestión de la privacidad Muchas organizacionesutilizan marcos de control como el del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) de 1992Control Interno — Marco Integradoo su mejora de 2004,Gestión de riesgos empresariales: marco integrado. Las organizaciones también pueden encontrar útiles otros marcos de control, como los que se enumeran en la "Figura 4.8: marcos de control ampliamente utilizados", al desarrollar un enfoque para analizar y mitigar las exposiciones a la privacidad. Aplicar las categorías del marco de gestión de riesgos empresariales (ERM) de COSO a la gestión de la privacidad y Figura 4.6 – Flujo de datos transfronterizo Problemas para los interesados • Las barreras del idioma. • Control sobre la pérdida de datos. • Pérdida de protección legal. • Disputa no factible. • Sin garantías de acceso. • Seguridad poco clara. Ejemplos de tales casos incluyen sistemas de reserva, funciones de recursos humanos en empresas multinacionales y cooperación transnacional en materia de aplicación de la ley (ver “Figura 4.6 – Problemas de flujo de datos transfronterizos para interesados”). Los regímenes internacionales [OCDE 1980 y APEC 2004] y regionales [CoE 1981 y UE 1995] crean un marco para establecer la confianza. Las organizaciones comerciales y sin fines de lucro deben asegurarse de que la información personal que recopilan, usan, divulgan y conservan permanezca en un lugar seguro y controlable, donde se acepten y se puedan hacer cumplir las normas aplicables. Figura 4.8 – Marcos de control ampliamente utilizados • COSO de 1992Control Interno — Marco Integrado. • COSO de 2004Gestión de riesgos empresariales: marco integrado. • Criterios de Control (CoCo) de CICA de 1995. • Objetivos de control de 2005 del IT Governance Institute para la información y la tecnología relacionada (CobiT). • ISO/Comisión Electrotécnica Internacional (IEC) 27001 (BS 7799). 13 GTAG — Privacidad y negocios — 4 Higoture 4.9 – Controles de privacidad en el marco COSO ERM La cultura y el tono de privacidad de una organización, estrechamente vinculados con su cliente y la responsabilidad social, son fundamentales para el entorno interno de control y riesgo de privacidad. El entorno interno incluye el código de privacidad, las políticas de privacidad implícitas y explícitas y la cultura de privacidad organizacional, según lo establecido y comunicado por la alta gerencia, todo lo cual debe estar alineado con las leyes y regulaciones aplicables. Ambiente interno. La dirección debe establecer una misión y una visión organizativas de las que puedan derivarse, directa o indirectamente, los objetivos de privacidad y la política de privacidad. Las políticas organizacionales, los perfiles de trabajo y los planes de desempeño individual pueden incluir explícitamente objetivos de privacidad. Establecimiento de objetivos La identificación de posibles amenazas internas y externas a la privacidad es principalmente parte de la evaluación periódica y continua de riesgos operativos y de tecnología de la información (TI). Identificación de eventos Dependiendo del campo de actividad de una organización, la privacidad puede ser un aspecto más o menos importante de la evaluación de riesgos operativos y de TI. Por lo tanto, las exposiciones de privacidad inherentes y residuales deben ser bien comprendidas por la gerencia operativa y el personal, así como por las funciones de TI. Evaluación de riesgos Los procesos comerciales habilitados para la privacidad, la limitación de la recopilación, la seguridad de los datos, la gestión de contingencias y las medidas de gestión de datos evitan, aceptan, reducen o comparten el riesgo relacionado con la privacidad. Respuesta a los riesgos Las políticas, los procedimientos y las estructuras organizacionales que garantizan que se lleven a cabo las respuestas a los riesgos abarcan elementos como la seguridad de los datos, los controles de acceso, los controles de integridad y contingencia, las revisiones de privacidad, un defensor de la privacidad y muchos más. Actividades de control La información relevante debe ser expedida oportunamente para permitir un control efectivo; Los instrumentos incluyen la observación de métricas de privacidad e informes sobre problemas y su mitigación. Información y comunicación El sistema de gestión de riesgos de privacidad requiere seguimiento y adaptación según sea necesario. Una organización puede nombrar un comisionado de privacidad, mantener un registro de datos, evaluar solicitudes para acceder a registros de información personal y realizar auditorías de privacidad. Supervisión control proporciona un ejemplo práctico para evaluar la privacidad dentro del marco de control y riesgo de una organización. (Consulte la “Figura 4.9: Controles de privacidad en el marco COSO ERM”). El marco COSO ERM abarca tres dimensiones: la organización, los objetivos y los componentes de gestión de riesgos. La dimensión organizacional describe los elementos estructurales que se utilizarán para analizar los factores de riesgo y para los mecanismos o responsabilidades de implementación. La dimensión de objetivos ayuda a definir los objetivos estratégicos, operativos, de informes y de cumplimiento que se deben tener en cuenta para la evaluación de la privacidad. La dimensión del componente de gestión de riesgos es fundamental para considerar los controles de privacidad en una organización. La auditoría interna puede aprender acerca de las áreas potenciales de revisión al observar más de cerca esta dimensión. realizadas por líneas o unidades de negocio. La auditoría interna también debe monitorear la implementación de los planes de mejora. Una evaluación de prácticas de privacidad basada en un modelo de madurez se centrará en los niveles de madurez con respecto a un conjunto de principios de privacidad o criterios específicos de un programa de trabajo o cuestionario de evaluación comparativa. Dependiendo de la madurez de las prácticas existentes de la organización, los resultados de la auditoría interna pueden conducir a: • Medición de la madurez. • Sensibilizar e influir en el compromiso. • Evaluación de políticas y procedimientos. • Realizar o respaldar evaluaciones de riesgos. • Recomendar el establecimiento de un grupo de trabajo u oficial de privacidad. • Auditorías de cumplimiento. • Evaluación de funciones, procesos, controles, productos y servicios. • Establecimiento y/o validación de autoevaluaciones. • Recomendaciones, planes de acción y seguimiento de la implementación. Uso de un modelo de madurez de privacidad Un auditor necesita criterios para evaluar la posición de una organización con respecto a sus prácticas de privacidad. Se puede utilizar un modelo de madurez de capacidades como el que se muestra en la “Figura 4.10 – Niveles genéricos de madurez de la privacidad” en la página siguiente para ilustrar la etapa de desarrollo de las prácticas de privacidad. Cuando una organización elige emplear un modelo de madurez, el papel de la auditoría interna es apoyar el desarrollo del modelo, recopilar y analizar datos y comunicar los resultados de una evaluación, y validar las autoevaluaciones. 4.5 Determinación de buenos y malos desempeños El nivel de rendimiento de una organización se puede determinar mediante el empleo de un modelo de madurez, así como mediante la comparación con los principios generales, un marco de control o las mejores prácticas. 14 GTAG — Privacidad y negocios — 4 Figura 4.10 – Niveles genéricos de madurez de la privacidad Inicial Las actividades son ad hoc, con: • Sin políticas, reglas o procedimientos definidos. • Eventualmente actividades de bajo nivel, no coordinadas. • Redundancias y falta de trabajo en equipo y compromiso. repetible La política de privacidad se define, con: • Cierto compromiso de la alta dirección. • Conciencia y compromiso general. • Planes específicos en zonas de alto riesgo. definido La política de privacidad y la organización están
Compartir