Las empresas públicas más valiosas del mundo hoy en día están impulsadas por datos.

Algunas de las empresas más importantes del mundo, incluidas Facebook, Apple, Amazon, Netflix y Google (conocidas colectivamente como FAANG en el mercado de valores), han construido sus modelos de negocio sobre datos en áreas como la publicidad, el comercio electrónico, productos tecnológicos y modelos de suscripción. Los datos siguen siendo una fuerza impulsora en el camino hacia la Cuarta Revolución Industrial, donde la inteligencia artificial, el internet de las cosas (IoT), el aprendizaje automático y la biotecnología, entre otros, definen el futuro de nuestro trabajo y sociedad.

Y aunque no hay duda de que los datos han generado un enorme valor económico en la era de la transformación digital, también es cierto que detrás de la mayoría de los puntos de datos hay personas. A las personas les importa cómo se utiliza su información personal. Quieren proteger su reputación, mantener su autonomía y honrar su propia dignidad. Les importa la privacidad; las personas necesitan saber en qué empresas pueden confiar.

Fuente: NIST

La confianza es ahora un componente crítico para el éxito de una empresa. La confianza crea lealtad a largo plazo a la marca y defensa entre los clientes. Una pérdida de confianza, posiblemente derivada del mal uso o hackeo de datos personales, anima a los clientes a llevar su negocio a otro lugar, lo que impacta negativamente en las valoraciones de la empresa. (Solo mira a Yahoo como un ejemplo: después de una extensa violación de datos, los clientes huyeron en masa, contribuyendo a millones en pérdida de valoración). Las empresas pueden construir confianza mientras respetan la privacidad de los consumidores y proporcionan valor a las vidas de sus clientes. Sin embargo, esto debe hacerse metódicamente; las empresas pueden ganar la confianza de los clientes a través de la toma de decisiones éticas integradas en sus modelos de negocio.

Las empresas entienden que la confianza y la privacidad son críticas, pero ¿cómo se ve esto en la práctica? ¿Cómo protegen las empresas y organizaciones la privacidad de las personas, mientras siguen utilizando los datos de las personas? ¿Cómo abordan las empresas los riesgos de privacidad, que pueden suponer riesgos reputacionales, y los riesgos de cumplimiento, que pueden causar problemas legales para una empresa? ¿Se incluyen los riesgos de privacidad junto con otros elementos en la cartera de riesgos empresariales de su empresa? ¿Tiene su empresa un presupuesto asignado con los recursos correctos para abordar adecuadamente el riesgo de privacidad?

Con tantas partes móviles en el panorama de la privacidad, puede ser difícil saber por dónde empezar. Lo que falta en esta ecuación es un lenguaje común y herramientas prácticas para abordar las necesidades de privacidad. Eso es exactamente lo que el Marco de Privacidad de NIST quiere resolver.

¿Qué es el Marco de Privacidad de NIST?

El Marco de Privacidad de NIST es un marco voluntario que ayuda a las empresas y organizaciones a entender, evaluar y mitigar sus riesgos de privacidad. NIST significa el Instituto Nacional de Estándares y Tecnología, una unidad del Departamento de Comercio de los Estados Unidos, que promueve la innovación a través del desarrollo de estándares científicos y tecnológicos. NIST lanzó un borrador preliminar del marco en septiembre de 2019 y espera tener la versión 1.0 finalizada para finales de 2019. El marco, escrito en términos sencillos, se esfuerza por incluir a las partes interesadas de diferentes industrias y niveles de jerarquía para definir objetivos de privacidad e implementar políticas de privacidad compartidas.

El Marco de Privacidad de NIST proporciona:

- Un lenguaje común para comunicar el riesgo de privacidad con las partes interesadas internas y externas
- Una forma de alinear enfoques de política, negocio y técnicos para reducir los riesgos de privacidad
- Un método para identificar y priorizar acciones, incluidas actividades y resultados comunes de protección de la privacidad, para reducir los riesgos de privacidad

Dentro de este marco, las empresas y organizaciones pueden cumplir con sus objetivos actuales de cumplimiento de privacidad, así como anticipar futuros avances tecnológicos y regulaciones de privacidad para sus futuros productos y servicios. El Marco de Privacidad es independiente de la tecnología, se aplica independientemente de cualquier ley y jurisdicción específica, y trabaja en colaboración con el Marco de Ciberseguridad de NIST lanzado en 2018.

Cómo funciona el Marco de Privacidad de NIST

El borrador preliminar del Marco de Privacidad de NIST se compone de tres partes: el Núcleo, los Perfiles y los Niveles de Implementación.

El Núcleo ayuda a las organizaciones a identificar sus objetivos generales de privacidad.

Los Perfiles ayudan a las organizaciones a entender su riesgo actual de privacidad y comprender las brechas para lograr la gestión de riesgos de privacidad deseada. Las cinco áreas de función principales incluyen:

1. Identificar
2. Gobernar
3. Controlar
4. Comunicar
5. Proteger

Fuente: NIST

Los Niveles de Implementación apoyan la toma de decisiones organizacionales sobre el riesgo de privacidad. Esto tiene en cuenta los sistemas, productos, servicios y recursos específicos de una organización disponibles para ayudar a gestionar los riesgos.

Cómo se relacionan el marco de privacidad y el marco de ciberseguridad

¿Cómo se relaciona el Marco de Privacidad de NIST con el Marco de Ciberseguridad de NIST? Dos palabras: violaciones de privacidad. Los riesgos de ciberseguridad y privacidad van de la mano.

Ambos marcos, el Marco de Privacidad de NIST y el Marco de Ciberseguridad de NIST, abordan colaborativamente los riesgos de violación de privacidad. Esto es especialmente importante considerando tecnologías emergentes como IoT e IA.

El Marco de Privacidad de NIST tiene cinco funciones: Identificar, Gobernar, Controlar, Comunicar y Proteger.

El Marco de Ciberseguridad de NIST tiene cinco funciones: Identificar, Proteger, Detectar, Responder y Recuperar.

La función "Proteger" del Marco de Privacidad de NIST se superpone con el Marco de Ciberseguridad de NIST. Esto se relaciona con:

Gestión de identidad, autenticación y control de acceso
Seguridad de datos
Políticas, procesos y procedimientos de protección de datos
Mantenimiento
Tecnología de protección

Fuente: NIST

Cómo usar el Marco de Privacidad

Los ejecutivos de la empresa, los equipos legales, los equipos de seguridad y los departamentos relacionados utilizan el Marco de Privacidad de NIST como una referencia informativa para una variedad de cosas. Pueden usar el marco para fortalecer la responsabilidad dentro de su organización, establecer o mejorar un programa de privacidad, aplicarlo al ciclo de vida del desarrollo del sistema, usarlo en el ecosistema de procesamiento de datos de una empresa y tomar decisiones de compra informadas sobre qué proveedores trabajar.

Ten en cuenta que el Marco de Privacidad de NIST es solo eso, un marco. No es un estándar. No es una certificación. Es un punto de partida para que las organizaciones entiendan sus riesgos de privacidad y adopten un plan que aborde mejor esos riesgos.

Fuente: NIST

¿Cuál es el valor?

El Marco de Privacidad ayuda a las empresas a construir confianza con sus clientes, cumplir con las obligaciones de cumplimiento de regulaciones de privacidad actuales y futuras, y facilitar un diálogo sobre privacidad en una empresa. La confianza se construye con el tiempo con los clientes de una empresa, terceros y reguladores.

Fuente: NIST

Con la ayuda del Marco de Privacidad, las empresas pueden crear mejores prácticas de ingeniería de privacidad, como la privacidad por diseño o la privacidad por defecto. Esto ayuda a las empresas a anticipar nuevas leyes de privacidad y las anima a ser proactivas.

Tomando decisiones de compra informadas

Aunque el borrador del Marco de Privacidad de NIST es independiente de la tecnología, sí anima a las personas a utilizar los requisitos de riesgo de privacidad de NIST para tomar decisiones de compra informadas al adquirir productos, software y servicios, y al trabajar con terceros.

Qué puedes hacer ahora

NIST está buscando comentarios públicos sobre el borrador preliminar del Marco de Privacidad de NIST ahora hasta las 5 PM EDT del 24 de octubre de 2019. Después de incorporar cualquier actualización basada en el período de comentarios públicos, NIST espera lanzar la versión 1.0 del Marco de Privacidad de NIST para finales de 2019.

Temas futuros de NIST sobre el riesgo de privacidad

Después del lanzamiento de la Versión 1.0 del Marco de Privacidad de NIST a finales de 2019, NIST planea abordar otros temas relacionados con la privacidad, incluidas tecnologías emergentes, evaluaciones de riesgo de privacidad, fuerza laboral de privacidad, riesgo de reidentificación y estándares técnicos.

*Descargo de responsabilidad: No soy abogado y no estoy ofreciendo asesoramiento legal. Si tienes preguntas legales, consulta a un abogado con licencia.*

MMC

Merry Marwig, CIPP/US

Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.