La Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) es una ley canadiense que regula cómo el sector privado de Canadá usa y divulga información personal como parte de la actividad comercial. PIPEDA se creó en abril de 2000, pero la ley no se promulgó por completo hasta el 1 de enero de 2004.
Al igual que el Reglamento General de Protección de Datos (GDPR) más reciente de la Unión Europea (UE), PIPEDA de Canadá representa un nuevo enfoque en la protección de la información personal en lo digital. En todo el mundo, muchos se preocupan cada vez más por garantizar que sus datos personales se manejen de manera ética y estén debidamente protegidos. Así como GDPR se enfoca fundamentalmente en proteger los datos de los ciudadanos europeos, PIPEDA se centra en salvaguardar la información personal privada de los canadienses.
Diez principios de PIPEDA
PIPEDA es una ley amplia que abarca diez principios de privacidad de “información justa”; éstas se consideran las reglas básicas de la legislación. El propósito de estos principios es dar a cada individuo control sobre lo que sucede con su información.
- Responsabilidad – este principio define que la organización es responsable de toda la información personal bajo su control
- Identificación de propósitos – la organización debe declarar por qué se necesita la información personal antes de su recopilación
- Consentimiento – cualquier información personal recopilada debe hacerse con el consentimiento significativo de la persona
- Colección limitada – solo se deben recopilar los datos necesarios, y debe ser justo y legal en todo momento
- Limitar el uso, la divulgación y la retención – este principio impone que los datos solo se pueden usar para el propósito original previsto, y una vez que los datos se han usado, deben destruirse de forma segura
- Precisión – todos los datos recopilados DEBEN ser precisos, completos y lo más actualizados posible
- Salvaguardias – todos los datos recopilados deben protegerse con la seguridad adecuada para mantener la integridad de los datos
- Apertura – la organización que recopila datos debe publicar las políticas y los procesos llevados a cabo durante la recopilación de datos
- Acceso individual – cualquier individuo tiene derecho a, previa solicitud, ver los datos registrados y cuestionar su exactitud
- Cumplimiento desafiante – Se permite que una persona cuestione la adhesión de una organización a cualquiera de estos principios
Todos estos principios se aplican cuando se trata de una infraestructura de alojamiento compatible con PIPEDA; sin embargo, el punto de enfoque principal son las salvaguardas de PIPEDA, porque el proveedor de alojamiento tiene control directo sobre estos elementos
Garantías de alojamiento de PIPEDA
El principio de salvaguardas de alojamiento de PIPEDA no especifica directamente qué salvaguardas de seguridad particulares deben implementarse en la infraestructura de alojamiento; en cambio, la responsabilidad recae en el proveedor de alojamiento para "garantizar que protege adecuadamente la información personal bajo su cuidado a medida que evolucionan las tecnologías y surgen nuevos riesgos".
Lo que esto significa es que el principio de protección es fundamental para los proveedores de alojamiento porque las herramientas de protección ya deben estar implementadas en la infraestructura de alojamiento. Se debe crear una política de seguridad que abarque la protección de todos los registros digitales, evitando la alteración o el uso, el acceso, la replicación, la divulgación, la pérdida o el robo no autorizados.
Los métodos de protección se clasifican de manera similar a los enumerados en la Regla de Seguridad de la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA). Si bien HIPAA exige la necesidad de salvaguardas técnicas, administrativas y físicas, PIPEDA hace referencia a los requisitos técnicos, organizacionales y físicos de protección.
Salvaguardas Técnicas
Las salvaguardas técnicas se centran en varias áreas clave. Cifrado es una de las salvaguardias más importantes, ya que protege los datos en caso de pérdida o robo. El cifrado solo permite que un usuario o sistema autorizado con una clave privada acceda a los datos. Si no tiene la clave, los datos están codificados y son imposibles de descifrar. Asegúrese de elegir un proveedor de alojamiento que cifre de forma proactiva los datos en reposo.
Administrar la actividad del usuario es otra salvaguardia clave; las cuentas de usuario deben protegerse con contraseñas complejas de varios caracteres. El acceso a los datos debe controlarse utilizando el principio de privilegio mínimo, lo que significa que solo tiene acceso a la cantidad mínima de datos necesarios para completar la tarea en cuestión. Se debe mantener una lista de control de acceso (ACL), generalmente en forma de grupos de seguridad de Active Directory. Las ACL solo otorgarán acceso privilegiado al usuario relevante en momentos o ubicaciones geográficas específicas.
Registro detallado debe estar habilitado en toda la organización. El registro debería permitir a los administradores del sistema revisar quién ha tenido acceso a la información personal, cuándo y por qué. Los registros se pueden alimentar a una plataforma SIEM que puede observar de manera inteligente las tendencias de acceso de los usuarios a los datos. Las alertas pueden generarse por actividades inesperadas, como el acceso a datos fuera del horario comercial o por una persona afiliada a los datos del individuo.
Asimismo, Sistemas de Protección contra Intrusos (IPS) se puede implementar en puntos estratégicos dentro de la red en la nube para trabajar con el firewall mediante la inspección de paquetes que el firewall ya ha aceptado como legítimos. El IPS reside directamente en la red, protegiendo contra vulnerabilidades locales en una capa de hardware
Cortafuegos de red también son muy importantes. Están diseñados para asegurar intrínsecamente la infraestructura de la red y aislar y proteger los sistemas PIPEDA dentro del alcance. Esto da como resultado un entorno administrado completamente privado. Los firewalls de hardware y software se instalan estratégicamente alrededor del perímetro y las redes internas. Se debe considerar un Firewall de aplicaciones web (WAF) si las organizaciones dependen en gran medida de los servidores web. Un WAF es un dispositivo definido por políticas que protege las aplicaciones web al monitorear y filtrar el tráfico a través de Network Edge Protection
Un principio clave de PIPEDA es mantener la integridad de los datos personales que se han recopilado. Una de las maneras más fáciles de lograr esto es tener una solución de copia de seguridad definida por la seguridad. en su lugar. Si los datos se eliminan sin darse cuenta, los datos se pueden restaurar en poco tiempo.
Salvaguardas organizacionales
Las salvaguardas organizacionales generalmente se aplican a través de la administración del cumplimiento de una organización, incluidos los procedimientos y procesos implementados por la gerencia para proteger los datos. Programas de educación son parte fundamental de este objetivo. La capacitación ayuda a crear una cultura de conciencia sobre la privacidad y puede reducir en gran medida el riesgo de infringir las reglas de PIPEDA. La capacitación generalmente se enfoca en los riesgos y tendencias de seguridad cibernética, las reglas de privacidad y la comprensión de las sanciones que podrían imponerse a la organización y al individuo en caso de una violación de datos.
Otras mejores prácticas internas adherirse son una política de pantalla y escritorio despejados. Una pantalla clara indica que cada vez que los miembros de su personal dejen sus escritorios por un tiempo prolongado, deben desconectarse de sus computadoras y que cada vez que se vayan, aunque sea por un momento, deben bloquear sus computadoras. Una política de escritorio limpio exige que los empleados vacíen sus escritorios de cualquier material, incluidos los medios extraíbles, las notas adhesivas y las tarjetas de presentación, junto con las notas y la documentación, siempre que lo dejen desatendido.
Todos los empleados deben ser examinados por seguridad si el trabajo implica el manejo de información confidencial. La diligencia debida requiere verificaciones de antecedentes antes de permitir que cualquier miembro del personal acceda a los sistemas de datos personales. Cualquier informe de espionaje de empleados debe investigarse a fondo y, cuando las medidas proactivas fallan, se deben considerar medidas disciplinarias.
Salvaguardas Físicas
El cumplimiento de PIPEDA requiere que las empresas de alojamiento protejan físicamente los datos personales. El público no debe poder ver ningún dato confidencial, por lo que debe restringirse el acceso a ubicaciones confidenciales, como un centro de datos de alojamiento. Elija un proveedor de alojamiento que se tome en serio la seguridad del centro de datos. Un centro de datos debe ser un recinto intrínsecamente seguro, monitoreado las 24 horas del día, los 7 días de la semana, a menudo con personal de seguridad en el lugar y vigilancia remota. Dentro del centro de datos, las habitaciones están cerradas y el acceso está controlado al personal autorizado mediante tarjetas de acceso.
Las oficinas, las puertas y los gabinetes deben mantenerse cerrados. Las cámaras de seguridad y las políticas de acceso físico son otros ejemplos de controles físicos "razonables".
Actualización de PIPEDA 2018
Desde su promulgación original, PIPEDA ha ordenado que todas las empresas que operan en Canadá deben haber implementado un programa de protección de datos. El 1 de noviembre de 2018, se actualizaron las reglas de seguridad de datos dentro de PIPEDA, exigiendo mayor diligencia debida y mejorando el rigor de las reglas.
Ahora se requiere que las empresas controlen y administren todos los datos que se encuentran en sus sistemas y que establezcan restricciones de acceso apropiadas en los sistemas para salvaguardarlos razonablemente. Las organizaciones que manejan datos de ciudadanos canadienses, tanto nacionales como extranjeros, ahora deberán realizar las siguientes tareas nuevas:
- Envíe avisos a los usuarios afectados sobre cualquier violación de la privacidad que conlleve un "riesgo real de daño significativo para una persona", como una pérdida financiera
- Informe cualquier compromiso de privacidad a la Oficina del Comisionado de Privacidad de Canadá
- Mantener registros de cualquier violación de la privacidad
Las pautas de la nube de la Oficina del Comisionado de Privacidad se actualizaron el 14 de diciembre. Estas pautas son específicas para la nube; sin embargo, se traducen bien en las relaciones con cualquier proveedor de alojamiento. Las preguntas frecuentes establecen que PIPEDA "no prohíbe la computación en la nube, incluso cuando el proveedor de la nube se encuentra en otro país". Puedes usar la nube entonces, eso está muy claro. Los parámetros más allá de eso son los siguientes:
- Asegúrese de obtener el consentimiento de cada persona
- Proteja todos los datos que recopile
- Asegúrese de recopilar datos personales para fines apropiados
- Restringir la recopilación de datos personales a los fines declarados
- Haga que esos propósitos estén disponibles para sus usuarios
- Dé a conocer sus prácticas de privacidad a los usuarios
Directrices de PIPEDA específicas para hosting y terceros
De manera similar al requisito del acuerdo de socios comerciales (BAA) para el cumplimiento de HIPAA dentro de la industria de atención médica de EE. UU., PIPEDA exige que usted debe mantener la responsabilidad de todos los datos siempre que sean transferidos o manejados por un tercero.
Las reglas no son tan estrictas como la BAA de HIPAA, que requiere un contrato. PIPEDA requiere que cada organización que utilice un tercero debe verificar que las protecciones de datos estén implementadas correctamente a través de "medios contractuales o de otro tipo".
Cualquier organización que utilice un proveedor de la nube o un servicio de alojamiento debe verificar que el sistema mantenga las estrictas normas de cumplimiento de PIPEDA, en particular, prestando atención al lenguaje del contrato que aborda el manejo de datos personales.
Importancia de las relaciones con los proveedores para el cumplimiento continuo de PIPEDA
Cuando los parámetros de cumplimiento se vuelven más rígidos, las organizaciones recurren cada vez más a socios de TI con experiencia en nichos para cumplir con esos nuevos y específicos parámetros regulatorios. Por esa razón, y dado que la computación en la nube y otros sistemas de terceros se han vuelto tan comunes en la industria, es importante que las organizaciones se preocupen de que los proveedores que manejan sus datos sigan las mismas pautas.
Si está buscando cumplir con PIPEDA, un proveedor externo sin duda puede ayudarlo. Sin embargo, es fundamental asegurarse de que el host que elija tenga un historial de cumplimiento y se especialice en ello. En Atlantic.Net, nuestro alojamiento de cumplimiento está certificado y auditado por auditores externos independientes. Tenemos más de 25 años de experiencia dentro de la industria; ponte en contacto para ver cómo podemos ayudarte.