Podcast sobre privacidad, episodio cuatro: La difusa línea entre privacidad y seguridad
Puntos clave
- La separación tradicional entre privacidad y seguridad se está disolviendo a medida que la tecnología y las regulaciones obligan a que las funciones y responsabilidades converjan. Los CISO y los CPO se enfrentan cada vez más a decisiones superpuestas —y a responsabilidades superpuestas— impulsadas por la IA, los sistemas con gran volumen de datos y las leyes en rápida evolución.
- Las organizaciones entienden ampliamente cómo protegen los datos, pero aún tienen dificultades para explicar por qué los recopilan.
- Los reguladores, las aseguradoras cibernéticas y las leyes globales de privacidad ahora esperan que las empresas justifiquen el propósito, minimicen la recopilación y eliminen los datos innecesarios.
- Los líderes del futuro necesitarán habilidades híbridas entre lo jurídico y lo técnico, así como la capacidad de comunicarse entre equipos, sistemas y disciplinas.
Una convergencia impulsada por la tecnología y la regulación
Como explicaron Aaron Tantleff y Jennifer Urban en el cuarto episodio de la serie Privacy Week de Foley, la rápida evolución tecnológica (IA, automatización, plataformas con gran volumen de datos) ha transformado lo que las organizaciones deben gestionar. Al mismo tiempo, las leyes de privacidad y ciberseguridad se han ampliado drásticamente, lo que exige que los equipos de privacidad comprendan los sistemas y que los equipos de seguridad comprendan los riesgos legales. Esto ha difuminado las fronteras entre las funciones, que antes estaban claramente definidas.
La privacidad ahora rige la legitimidad, la proporcionalidad y la equidad, mientras que la seguridad garantiza la resiliencia y la detección, pero ambas influyen en los mismos controles, desde la gestión del acceso hasta el registro. El resultado: dos disciplinas que siguen siendo distintas, pero que ahora avanzan al unísono.
La pregunta más difícil no es «cómo», sino «por qué».
La mayoría de las organizaciones pueden demostrar cómo protegen los datos, mediante cifrado, controles de acceso y protocolos de seguridad. Sin embargo, muchas no pueden responder con claridad por qué recopilan los datos que tienen.
Al salir de la era del «acumularlo todo», las empresas a menudo carecen de una comprensión completa de:
- Lo que recogen
- Dónde vive
- Cuánto tiempo permanece
- Si tiene un propósito legítimo.
Incluso los cuestionarios de privacidad suelen revelar lagunas: las organizaciones descubren datos que no sabían que tenían o cuya conservación no pueden justificar.
La IA ha intensificado este desafío, dificultando la minimización de datos y haciendo cada vez más compleja la limitación de su finalidad. Como señala Urban, las conversaciones más difíciles suelen girar en torno al motivo por el que se recopilan los datos, y no sobre cómo se protegen.
Del acaparamiento de datos a la estrategia de datos
Las leyes globales y las aseguradoras cibernéticas están presionando a las organizaciones para que pasen de acumular datos a practicar una estrategia de datos disciplinada. Esto incluye:
- Definición de objetivos comerciales claros para cada categoría de datos.
- Limitar los usos secundarios
- Reducción de la retención de datos
- Eliminación de la información una vez que ha expirado su finalidad
- Evaluación de proveedores y socios de IA para garantizar las medidas de seguridad adecuadas.
Tantleff destaca que las organizaciones maduras son aquellas que están dispuestas a eliminar los datos que ya no necesitan, un aspecto con el que muchas aún tienen dificultades.
Formando a la próxima generación de líderes en datos
Los líderes del mañana en materia de seguridad y privacidad deben ser en parte tecnólogos, en parte abogados, en parte estrategas y en parte traductores. Las organizaciones ya están contratando abogados con formación en ingeniería, profesionales de la privacidad con conocimientos técnicos y expertos en seguridad con experiencia en políticas.
Los reguladores consideran ahora la falta de liderazgo de alto nivel en materia de privacidad como una señal de alerta. Muchas industrias están elevando las funciones de privacidad y seguridad al nivel directivo, reconociendo que estos ámbitos son fundamentales para la confianza, el cumplimiento normativo y la sostenibilidad empresarial a largo plazo.
El riesgo nunca será cero, pero hay que comprenderlo.
Ambos socios señalaron que la seguridad nunca puede ser perfecta. Las organizaciones deben aceptar un nivel básico de riesgo, pero deben comprenderlo, documentarlo y gestionarlo.
La verdadera administración ya no consiste en acumular todo «por si acaso». Se trata de ser capaz de expresar:
- ¿Por qué existen los datos?
- ¿Qué riesgos conlleva?
- Cómo se está minimizando
- Cuándo debe eliminarse
Y, como señalan ambos expertos, la eliminación —deshacerse de los datos innecesarios— suele ser uno de los indicadores más sólidos de la madurez organizativa.
Conclusión
La frontera entre la privacidad y la seguridad se ha difuminado, no por casualidad, sino por necesidad. Las empresas modernas se enfrentan a una complejidad sin precedentes, y ninguna de las dos disciplinas puede tener éxito sin la otra. Las organizaciones que prosperarán en este entorno son aquellas que adopten una gobernanza unificada, contraten a pensadores híbridos y pasen de las listas de control defensivas a una estrategia de datos bien pensada.
Lo más importante es que serán las organizaciones dispuestas a reducir el ritmo, justificar por qué recopilan datos —no solo cómo los protegen— y tomar decisiones responsables que generen confianza a largo plazo.
¿Te interesa estar al tanto de las últimas novedades en materia de privacidad?
Escuche la serie de podcasts del Grupo de Ciberseguridad y Privacidad de Datos de Foley, en la que nuestros abogados analizan las normativas en constante evolución, los riesgos emergentes y lo que significan para su negocio.
Haga clic aquí para escuchar el episodio completo del podcast.
