En nuestro mundo hiperconectado, la seguridad de los datos y la ciberseguridad se han convertido en preocupaciones primordiales para organizaciones de todos los tamaños y sectores. Los gobiernos de todo el mundo han respondido implantando normativas para salvaguardar la información sensible y combatir las ciberamenazas. Tanto es así que resulta un poco difícil mantenerse al día de todas ellas.
En este artículo, exploraremos una lista curada de algunas de las principales normativas de protección de datos, marcos de ciberseguridad y estándares de seguridad de datos específicos de la industria de diferentes rincones del mundo.
Desde el GDPR de amplio alcance en Europa hasta la HIPAA específica del sector en Estados Unidos, hemos elaborado una lista fácil de entender con descripciones que le garantizarán que está armado con los conocimientos necesarios para navegar por el complejo mundo de la protección de datos.
Vayamos al grano:
Normativa general de protección de datos
RGPD (UE)
Nombre completo: Reglamento General de Protección de Datos
Ámbito de aplicación: Todas las organizaciones del mundo que traten datos personales de residentes en la UE.
Descripción: El GDPR es el reglamento de protección de datos personales más estricto y complejo del mundo. Las empresas están obligadas a proteger los datos personales de los ciudadanos de la UE y no pueden recopilarlos ni procesarlos sin su consentimiento.
Más información sobre el cumplimiento del GDPR ->
CCPA (EE.UU.)
Nombre completo: Ley de Privacidad del Consumidor de California
Ámbito de aplicación: La CCPA se dirige principalmente a las medianas y grandes empresas que operan en California, independientemente de dónde se encuentre la empresa. Evaluar si una empresa cumple los requisitos para "operar en California" no es tarea fácil. Lea sobre los criterios
Descripción: La CCPA es la primera ley integral de protección de la intimidad de los consumidores en Estados Unidos. Concede a los consumidores el derecho a saber qué información personal se está recopilando, el derecho a que se elimine esa información y el derecho a optar por no vender sus datos sensibles.
El 1 de enero de 2023, la Ley de Derechos de Privacidad de California de 2020 (CPRA) amplió la CCPA, permitiendo a los consumidores impedir que las empresas compartan sus datos personales, corregir los datos inexactos y limitar el uso por parte de las empresas de "información personal sensible". La ley estableció la Agencia de Protección de la Privacidad de California.
Más información sobre el cumplimiento de la CCPA ->
LPRPDE (Canadá)
Es posible que la LPRPDE sea sustituida en breve por la Ley de Protección de la Privacidad de los Consumidores (CPPA): a partir de junio de 2023, ha superado la segunda lectura en la Cámara de los Comunes.
Nombre completo: Personal Information Protection and Electronic Documents Act (Ley de protección de la información personal y los documentos electrónicos)
Ámbito de aplicación: Organizaciones que operan en Canadá u organizaciones ubicadas fuera de Canadá que utilizan información personal en relación con actividades comerciales dentro de Canadá.
Descripción: La LPRPDE es una ley canadiense de protección de la intimidad que establece normas para la recogida, uso y divulgación de información personal en actividades comerciales. Es aplicable a organizaciones del sector privado durante actividades comerciales con ánimo de lucro.
DPA 2018 (REINO UNIDO)
Nombre completo: Data Protection Act
Ámbito de aplicación: Organizaciones, incluidas las gubernamentales y sin ánimo de lucro, que procesan datos personales en el Reino Unido.
Descripción: La Ley de Protección de Datos de 2018 incorpora los principios del GDPR y establece varios derechos y responsabilidades en relación con los datos personales. Requiere que las organizaciones implementen medidas técnicas y organizativas apropiadas para salvaguardar los datos personales.
Ley de privacidad (Australia)
Ámbito de aplicación: Agencias gubernamentales australianas, empresas y organizaciones sin fines de lucro con un cierto volumen de negocios anual, pero también organizaciones más pequeñas bajo ciertas circunstancias, como proveedores de atención médica del sector privado, organismos de información crediticia y otros.
Descripción: La Ley de Protección de la Intimidad es la principal legislación australiana en materia de protección de datos. Su principal objetivo es proteger la intimidad de las personas y garantizar que su información personal se maneja de manera justa y transparente y que las organizaciones toman medidas razonables para mantener los datos seguros.
POPIA (Sudáfrica)
Nombre completo: Protection of Personal Information Act (Ley de protección de la información personal)
Ámbito de aplicación: Toda entidad, privada o pública, domiciliada o no en Sudáfrica pero que procese información personal en Sudáfrica entra en el ámbito de aplicación de la POPIA.
Descripción: El objetivo de POPIA es salvaguardar los datos personales de robos, usos indebidos y acciones malintencionadas. POPIA esboza las condiciones bajo las cuales cualquier persona u organización puede procesar legalmente información sensible.
Más información sobre el cumplimiento de POPIA ->
Normativasobre ciberseguridad
NIS2 (UE)
Los Estados miembros de la UE tienen hasta septiembre de 2024 para incorporar los requisitos de la NIS2 a su legislación nacional.
Nombre completo: Directiva sobre seguridad de las redes y de la información
Ámbito de aplicación: Todas las organizaciones que operan en sectores e industrias "esenciales" e "importantes", incluidos sus proveedores de servicios digitales, entran en el ámbito de aplicación de la NIS2.
Descripción: La NIS se introdujo en 2016 como la primera directiva de ciberseguridad de la UE. El objetivo de la NIS2 actualizada es crear un nivel estándar de protección en toda la UE mediante la aplicación de requisitos y medidas de ciberseguridad en todos los Estados miembros de la UE. Enumera los sectores afectados, determina los requisitos de seguridad, unifica las obligaciones de notificación e introduce medidas coercitivas y sanciones.
Con todo ello se pretende proteger las infraestructuras críticas y a los ciudadanos de la UE de los ciberataques.
Más información sobre el cumplimiento de la NIS2 ->
Ley de Ciberseguridad (UE)
Nombre completo: Reglamento (UE) 2019/881
Ámbito de aplicación: Estados miembros de la UE, ENISA, organismos de certificación y organizaciones y empresas que desarrollan, fabrican o proporcionan productos y servicios TIC dentro de la UE.
Descripción: La Ley de Ciberseguridad de la UE otorga a la Agencia de Ciberseguridad de la Unión Europea (ENISA) un mandato permanente y establece un marco de certificación de productos y servicios TIC para garantizar su fiabilidad. Promueve la cooperación entre los Estados miembros de la UE para mejorar las prácticas de ciberseguridad y el intercambio de información.
CMMC (EE.UU.)
Su plena aplicación se ha retrasado y se espera para 2025.
Nombre completo: Certificación del Modelo de Madurez de Ciberseguridad
Ámbito de aplicación: Todos los contratistas y subcontratistas del Departamento de Defensa (DoD) de Estados Unidos.
Descripción: CMMC es un marco puesto en marcha por el DoD para proteger de ciberataques la información no clasificada controlada que comparte con sus contratistas y subcontratistas.
Más información sobre el cumplimiento de la CMMC ->
Normativas deprotección de datos específicas del sector
HIPAA (EE.UU.)
Nombre completo: Health Insurance Portability and Accountability Act (Ley de portabilidad y responsabilidad de los seguros médicos)
Sector: Sanidad
Ámbito de aplicación: Proveedores sanitarios implicados en la industria sanitaria en EE.UU. y sus socios comerciales terceros que tengan acceso a información sanitaria protegida.
Descripción: El principal objetivo de la HIPAA es establecer normas nacionales para el intercambio electrónico de información sanitaria y salvaguardar la confidencialidad de los pacientes. Su objetivo es mantener la privacidad y seguridad de la información sanitaria personal, permitiendo al mismo tiempo el intercambio eficaz y seguro de datos médicos.
Más información sobre el cumplimiento de la HIPAA ->
PCI DSS (EE.UU.)
Nombre completo: Payment Card Industry Data Security Standard
Sector: Finanzas
Ámbito de aplicación: La PCI DSS se aplica globalmente a todas las entidades que procesan, transmiten o almacenan datos de titulares de tarjetas.
Descripción: La PCI DSS es un conjunto de normas y procesos diseñados para proteger los datos confidenciales de los titulares de tarjetas frente a las filtraciones de datos y el fraude. Indica a los comerciantes cómo manejar la información de las tarjetas de pago de sus clientes de forma segura, para que no caiga en manos equivocadas.
Más información sobre el cumplimiento de PCI DSS ->
DORA (UE)
DORA se encuentra actualmente en su periodo de preparación de 24 meses y entrará en vigor en enero de 2025.
Nombre completo: Digital Operational Resilience Act
Sector: Finanzas
Ámbito de aplicación: La DORA se aplica a las entidades financieras que participan en el sistema financiero de la UE y a los proveedores de servicios de TIC que les prestan apoyo. Esto se aplica incluso a las empresas con sede fuera de la UE.
Descripción: El objetivo del DORA es reforzar la resiliencia digital en la Unión Europea. Crea un conjunto de normas para gestionar los riesgos asociados a las TIC en el sector financiero. Al hacerlo, armonizará los esfuerzos de seguridad de los datos en todos los Estados miembros de la UE.
Más información sobre el cumplimiento del DORA ->
GLBA (EE.UU.)
Nombre completo: Gramm-Leach-Bliley Act
Sector: Finanzas
Ámbito de aplicación: La Ley Gramm-Leach-Bliley se aplica a una amplia gama de instituciones financieras en Estados Unidos.
Descripción: La Ley Gramm-Leach-Bliley es una ley estadounidense que regula el tratamiento de información personal no pública por parte de bancos e instituciones financieras, compañías de seguros y proveedores de servicios financieros. Uno de los componentes clave es la Regla de Privacidad, que exige a las instituciones financieras proporcionar a los clientes avisos de privacidad claros y concisos que expliquen las prácticas de intercambio de información de la institución.
TISAX (Alemania)
Nombre completo: Trusted Information Security Assessment Exchange
Ámbito de aplicación: Se exige una certificación TISAX a todas las organizaciones que hacen negocios con la mayoría de los principales actores de la industria automovilística alemana.
Descripción: TISAX fue desarrollado por la Asociación Alemana de la Industria del Automóvil (VDA) y proporciona un proceso común de evaluación e intercambio, garantizando un alto nivel de seguridad y confidencialidad de los datos en la cadena de suministro del automóvil.
Más información sobre el cumplimiento de TISAX ->
Implemente Safetica para cumplir la normativa sin esfuerzo
Con Safetica, es fácil cumplir los distintos requisitos normativos. La solución identifica y clasifica sus datos confidenciales y se asegura de que estén protegidos contra el uso indebido y las infracciones. Safetica le permite configurar sus políticas de seguridad para que pueda restringir el acceso a sus archivos confidenciales. También puede realizar auditorías de seguridad para ver el estado de la seguridad de los datos en su organización. Y en caso de que de todos modos se produzca una amenaza para la seguridad, se le notificará en tiempo real.