Ley de protección de datos: ¿qué es y cómo seguirla en tu empresa?

El reporte anual Cost of Data Breach Report, de IBM, señaló que el costo promedio global de una violación de datos en 2023 fue de 4.45 millones de USD. El informe incluyó, además, que el 51% de las organizaciones planea aumentar las inversiones en seguridad como resultado de una violación.

Una ley de protección de datos garantiza el derecho a la privacidad de los datos personales y sanciona a aquellos que incumplen las normas. Su objetivo principal es establecer reglas para el manejo, procesamiento y almacenamiento de información de los individuos por parte de las organizaciones.

En este post obtendrás una comprensión más detallada de cómo se aplica esta norma y la importancia de hacerlo.

Contenidos relacionados

• Proteger la privacidad del cliente en un mundo de personalización
• Protección y privacidad avanzadas de datos del cliente
• ¿Qué es la seguridad de la información?

En este artículo aprenderás:

• Qué son datos personales
• Qué es la ley de protección de datos y para qué sirve
• Cómo se aplica
• Qué es un aviso de privacidad
• Cómo seguir la ley dentro de tu empresa
• Cómo se aplica la ley en distintos países
• Cómo cuidar la privacidad de tus clientes con Zendesk

¿Qué son los datos personales?

Los datos personales son información que permite identificar, contactar o ubicar a una persona, ya sea de manera directa o en combinación con otros datos provenientes de diversas fuentes.

Los datos personales pueden ser cualquier información que esté asociada con una persona y que permita su identificación. Puede incluir correspondencia, grabaciones de audio, imágenes, identificadores alfanuméricos y combinaciones de estos. 

Para que la información se considere un dato personal deben cumplirse dos criterios:

• debe ser sobre una persona; 
• La identidad de la persona debe ser razonablemente comprobable a partir de la información u opinión.

¿Cuáles son los datos considerados personales o sensibles?

Dentro de la ley de protección de datos de varios países existen artículos que determinan cuáles son los datos personales sensibles. 

Datos sensibles

Son aquellos que afectan la intimidad de una persona o cuyo uso indebido puede generar discriminación. No pueden ser divulgados sin autorización del titular, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.

Algunos ejemplos de datos sensibles son:

• origen racial o étnico;
• orientación política;
• creencias religiosas o filosóficas;
• pertenencia a sindicatos,
• pertenencia a organizaciones sociales o de derechos humanos;
• datos sobre la salud;
• datos sobre la vida sexual;
• datos biométricos.

Datos personales

Existen diferentes tipos de datos personales contemplados dentro de las distintas leyes alrededor del mundo. Conócelos en esta tabla comparativa: 

Tipos de datos personales	Ejemplos
Datos de identificación	Nombre y apellidos, firma, huella, firma electrónica, tipo y número de documento, dirección, foto, teléfono.
Datos sobre características personales	Estado civil, datos de familia, fecha de nacimiento, lugar de nacimiento, edad, sexo, nacionalidad, características físicas (estatura, peso, contextura corporal).
Datos sobre circunstancias sociales	Características de alojamiento, vivienda, situación familiar, propiedades, posesiones, aficiones y estilos de vida, pertenencia a clubes y asociaciones, licencias, permisos y autorizaciones.
Datos académicos y profesionales	Formación académica, titulaciones, historial del estudiante, experiencia profesional, pertenencia a colegios o asociaciones profesionales.
Datos laborales	Profesión, puestos de trabajo, justificativos médicos, sanciones.
Datos que aportan información comercial	Actividades y negocios, licencias comerciales, suscripciones a publicaciones o medios de comunicación, creaciones artísticas, literarias, científicas o técnicas.
Datos económicos y financieros	Ingresos, rentas, inversiones, bienes patrimoniales, créditos, préstamos, avales, datos bancarios, planes de pensiones, jubilación, datos económicos de nómina, deducciones impositivas/impuestos, seguros, hipotecas, subsidios, beneficios, historial de créditos, tarjetas de crédito.
Datos sobre transacciones de bienes y servicios	Bienes y servicios, transacciones financieras, compensaciones e indemnizaciones.
Datos sanitarios	Lesiones, enfermedades, discapacidades o riesgos de enfermedades, incluidos antecedentes médicos, opiniones médicas, diagnóstico y tratamiento clínico.
Datos especialmente protegidos o sensibles	Ideología, afiliación sindical, religión, creencias, origen racial o étnico, historia médica y vida sexual.

¿Qué es la ley de protección de datos y para qué sirve?

La ley de protección de datos es un marco normativo diseñado para proteger la privacidad y seguridad de la información personal de los individuos. Este instrumento legal varía según el país o región, y su cumplimiento suele ser obligatorio para las organizaciones que trabajan con los datos personales de sus clientes. 

La normativa, a su vez, sirve para que las personas tengan control sobre su información personal y garantizan que las entidades que recopilan y procesan esos datos lo hagan de manera ética, transparente y segura.

Dentro de una ley de tratamiento de datos suelen existir dos figuras responsables por su manejo adecuado:

• Responsable del tratamiento: es la persona física o jurídica, entidad pública o privada, que utiliza datos de carácter personal con alguna finalidad. Por ejemplo, las empresas que usan los datos reunidos durante el servicio de atención al cliente para mejorar la experiencia del usuario.
• Encargado del tratamiento: es la persona física o jurídica, entidad pública o privada, que trata datos de carácter personal que son responsabilidad del responsable del tratamiento —Por ejemplo, una empresa de cobranzas tercerizada que maneja la cartera de clientes del responsable del tratamiento.

¿Cómo se aplica una ley de protección de datos?

Una ley de protección de datos personales se rige por una serie de principios que garantizan la protección de la información de las personas. 

Por lo general, los responsables por el manejo de los datos deben cumplir los siguientes puntos para no ser sancionados:

• Los datos personales deben ser exactos y pertinentes en relación con el ámbito y la finalidad para la que fueron recabados.
• El responsable deberá garantizar la no difusión de los datos. Solo el titular podrá autorizar la difusión de sus datos personales.
• Todas las personas deben aceptar mediante una declaración el tratamiento de sus datos personales.
• Los datos personales no podrán ser tratados con fines distintos para los que fueron recabados.
• El tratamiento de datos personales se realizará sin engaños o medios fraudulentos, para que no vulneren la confianza del titular.
• El tratamiento de datos personales será lícito cuando el titular brinde su consentimiento.
• El responsable tratará solo aquellos datos personales que sean relevantes en relación con la finalidad para la que se obtuvieron.
• La información relacionada con el tratamiento de datos será accesible y fácil de entender. Además, siempre debe estar a disposición del titular.
• Los datos personales tendrán un ciclo de vida o una temporalidad vinculada a la finalidad para la cual fueron recabados y tratados. Una vez termine el periodo deben ser suprimidos de la base de datos.

Conoce más acerca de la privacidad de datos y el consentimiento en este video: 

¿Qué es un aviso de privacidad?

El Gobierno de México define el aviso de privacidad como el “documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales”.

El aviso de privacidad tiene como objetivo informar al titular de los datos personales que su información será recabada y utilizada para ciertos fines. Además, le informa a las personas el tratamiento al que serán sometidos sus datos.

Este documento permite al responsable del tratamiento ser transparente con cada individuo sobre las finalidades de recabar sus datos, además de generar confianza sobre el tratamiento de la información.

Un aviso de privacidad debe especificar los siguientes aspectos:

• quién recopila los datos;
• qué datos recopila (más allá del tipo de datos);
• finalidad de la recopilación de los datos personales;
• cómo limitar o negar el uso o divulgación de los datos;
• cómo ejercer los derechos que la ley otorga;
• cómo se comunican los cambios en el Aviso de Privacidad;
• cómo funciona la aceptación o negativa para autorizar la transferencia de datos a terceros.

¿Cómo seguir la ley dentro de tu empresa?

Según el informe CX Trends 2024 de Zendesk, el 83% de los líderes de CX afirma que la protección de datos y la ciberseguridad son prioridades principales en sus estrategias de servicio al cliente.

Como resultado, estos líderes colaboran con los responsables de tecnología de la información para asegurar un enfoque completo en la seguridad de los datos y abordar tanto los aspectos tecnológicos como los requisitos normativos —el 75% de ellos colabora de forma activa con socios externos para llegar a una evolución en la privacidad de los datos en sus operaciones de CX.

Algunos principios básicos que las empresas pueden seguir para respetar la ley de protección de datos son:

1. Conocer el tipo de información tratada: para todas las empresas es fundamental entender la clase de datos recolectados y el tratamiento que se les debe dar. Muchas veces las organizaciones se encuentran con datos simples, pero otras veces pueden recolectar secretos comerciales y, por eso, deben tratarlos con mucho cuidado. 
2. Clasificar la información: todas las empresas deben saber el tipo de datos que son confidenciales –información crítica que requiere un nivel máximo de seguridad y acceso restringido– y los que son privados —información relacionada con individuos que es necesario proteger.
3. Designar responsables de la protección de datos: los bancos de datos y los archivos deben estar protegidos de cualquier tipo de ataque o filtración. Uno de los deberes de las empresas es designar una persona o una empresa que se encargue de cuidar los datos que hayan sido recolectados.
4. Identificar amenazas: una vez que las empresas hayan designado a los responsables de la protección de datos, deben identificar posibles amenazas. En este punto es fundamental hacer un análisis minucioso de la estructura física y los software que se utilizan. 

Así podrán identificar amenazas directas –como la vulnerabilidad a ciberataques o intrusiones informáticas– e indirectas —falta de políticas claras en cuanto a la restricción del acceso a la información.

Ley de protección de datos en distintos países

México

La Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados del 26 de enero de 2017, tiene como objetivo establecer las bases, principios y procedimientos para garantizar el derecho que tiene toda persona a la protección de sus datos personales. 

Cualquier entidad, ya sea gubernamental, pública, autónoma o privada está obligada a proteger la información suministrada por los titulares. 

Dentro de la ley mexicana se destacan dos puntos clave:

1. El estricto régimen de deberes con el que cuenta el responsable del tratamiento de los datos;
2. La extensa regulación contra las vulnerabilidades y brechas de seguridad.

Unión Europea

La Unión Europea entendió que ante el crecimiento exponencial de la tecnología debía tomar nuevas medidas para proteger los derechos digitales de las personas. Por este motivo creó el Reglamento General de Protección de Datos (RGPD).

El RGPD es el reglamento europeo sobre la protección de las personas físicas respecto al tratamiento de los datos personales y la libre circulación de estos datos. 

Entró en vigor el 25 de mayo de 2016 y se convirtió en una normativa oficial de la Unión Europea. Esto significa que cualquier empresa de la unión, o aquellas organizaciones que tengan negocios en la Unión Europea y que manejen información personal de cualquier tipo, deberán acogerse a ella. 

El RGPD busca un mayor nivel de transparencia en la información sobre el tratamiento de datos. Asimismo, recalca la necesidad de suprimir los datos cuando ya no sean necesarios para los fines para los que fueron recogidos y la elaboración de un registro interno de actividades de tratamiento. 

Durante el primer año de aplicación del Reglamento, la autoridad supervisora de Francia le impuso una multa de 50 millones de euros a Google por la falta de transferencia y la publicidad personalizada. 

A partir de ese momento, las empresas siguieron el Reglamento y las multas se redujeron. Las sanciones por el no cumplimiento del RGPD van desde una advertencia hasta una multa de 20 millones de euros. 

Argentina

La Ley 25326 del 2 de noviembre del 2000 dictamina que “el tratamiento de datos personales es ilícito desde que el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias”.

La legislación argentina sigue la estructura y contenidos de las legislaciones de los países europeos. Por esta razón, la Comisión Europea declaró que garantiza un nivel adecuado de protección de datos.

Colombia

La Ley 1581 del 17 de octubre de 2012 dicta disposiciones generales para la protección de datos personales. En ella se expresa el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se recogieran sobre ellas en bases de datos o archivos.

La ley de protección de datos en Colombia busca garantizar el derecho de las personas a la intimidad personal y familiar y a su buen nombre. 

La ley colombiana, a diferencia de las demás, resalta que el Estado y las entidades educativas deben realizar capacitaciones para que los niños, niñas, adolescentes y tutores entiendan los riesgos del tratamiento indebido de los datos.

La Superintendencia de Industria y Comercio es el ente regulador que se encarga de garantizar que el tratamiento de los datos sea adecuado.

Cuida la privacidad de tus clientes con Zendesk

A medida que el uso de IA y la personalización asumen un rol más importante en la atención al cliente, los líderes de CX se convierten en los nuevos impulsores de la privacidad de datos. 

Zendesk es una empresa comprometida con la protección de datos del cliente para garantizar experiencias únicas y satisfactorias.

Con Zendesk para el servicio de atención al cliente obtienes una solución para gestionar datos de manera segura así como herramientas que incorporan inteligencia artificial y facilitan la personalización en cada interacción.

Solicita hoy una demostración gratuita o accede a una prueba sin cargo.