#59 Evolución de la Privacidad de Datos
Subscribe to get the latest
on 2021-07-29 00:00:00 +0000
with Darren W Pulsipher, Jeremy Harris,
Darren Pulsipher, Jefe Arquitecto de Soluciones de Intel, analiza qué significa realmente la privacidad de los datos y su dirección futura junto a Jeremy Harris, Consejero General Adjunto de Privacidad/Seguridad de la Información, en Sutter Health.
Keywords
#dataprotection #dataprivacy #incidentresponse #multicloud #zerotrust #cybersecurity
Después de graduarse de la escuela de derecho, Jeremy ingresó directamente al Cuerpo de Abogados Generales (JAG) de la Fuerza Aérea de los Estados Unidos y sirvió como oficial en servicio activo durante nueve años. Una de sus responsabilidades fue ser administrador de registros para dos oficinas diferentes. Cambió su enfoque hacia el cuidado de la salud en su última asignación militar como asesor legal de hospitales en el Noreste. Después de dejar el servicio activo (aún está en la reserva), comenzó a trabajar como asesor legal en un hospital y actualmente trabaja en Sutter Health.
Aunque el marco legal es el mismo para la privacidad de los datos, existen algunas diferencias en el gobierno y el sector privado: el enfoque, los objetivos y las regulaciones aplicables. En el gobierno, la privacidad de los datos implica mantener los datos protegidos a través de la Ley de Privacidad; mantener en secreto la información confidencial. Aunque existen excepciones, como la Ley de Libertad de Información, los sistemas están diseñados para proteger la información y no divulgarla por defecto.
En el ámbito de la salud, desde la implementación de HIPAA en 1996, HITECH pocos años después, y ahora con la ONC, los datos están siendo enviados a los hogares, a los dispositivos de los pacientes, y los pacientes pueden permitir el acceso a terceros. “Acceso apropiado” es probablemente un mejor descriptor que “privacidad de datos”.
El movimiento en los derechos de privacidad es tener más acceso y más control por parte de los individuos. Como paciente, no solo tienes el derecho a tu información, sino que puedes indicarle a tu proveedor de atención médica que la entregue a un tercero: un abogado, un amigo, otro profesional médico, etc. Un paciente también puede especificar el formato de la liberación, ya sea en papel o electrónico, por lo que se otorgan muchos derechos a los pacientes.
Estos derechos de los individuos para controlar sus propios datos no se limitan a la atención médica. Vemos esto en el movimiento actual con el GDPR y leyes recientes aprobadas en Brasil, Canadá y China, y algunos estados de EE.UU. como California, Washington y Virginia.
A medida que el futuro de la privacidad de datos se concentra más en los derechos individuales de acceso, cambiará la forma en que las organizaciones pueden rastrear las cosas. Grandes empresas como Google y Facebook ahora tienen opciones en las que las personas pueden eliminar sus datos o impedir que las empresas los vendan de diversas maneras. Dispositivos de seguimiento como las cookies tradicionales ya no serán tan relevantes, por lo que hará falta algo más que ayude a los anunciantes dirigidos.
Mucho datos, por supuesto, como los datos de empleo ya están regulados. El control individual de los datos no es un derecho absoluto; las empresas necesitan datos para funcionar, por lo que podrán retener algunos, pero se regulará más. En Estados Unidos, tendremos más complejidad y más problemas antes de lograr una estandarización. Tenemos 50 estados, cada uno con sus propias regulaciones.
Hay tantas leyes como definiciones de información personal, lo cual puede generar conflictos. Sutter, por ejemplo, tiene muchos hospitales en el norte de California y algunas sedes en Hawái, Oregón y Utah. Sutter debe mantenerse al tanto de las regulaciones de esos estados de manera rutinaria, pero si ocurre una violación, entonces el estado donde residen las personas afectadas entra en juego. A veces, las leyes están escritas de tal manera que Sutter debe cumplir con la ley del lugar de residencia de los pacientes en lugar del negocio, lo que se vuelve complejo.
A veces tiene sentido subcontratar este tipo de problemas, y está surgiendo toda una industria legal que ayuda a las empresas a navegar por las regulaciones de privacidad y seguridad de la información.
Desde el lado de tecnología de la información, la seguridad de los datos significa limitar quién tiene acceso a las cosas. Con la privacidad de los datos, se abren puertas para el acceso. Por supuesto, hay un proceso de validación para determinar quién tiene acceso, pero hay un acto de equilibrio entre la seguridad y la privacidad, lo que puede generar mucho trabajo tanto para el lado legal como para el operativo.
Las organizaciones que desarrollan cualquier tipo de aplicaciones que tratan con los datos de las personas deben entender que existen leyes de privacidad que varían en cada país y en cada estado, así como las ramificaciones de usar y almacenar esos datos.
Jeremy, junto con los equipos de privacidad y seguridad, colaboran con los equipos técnicos, a veces incluso desde la fase de diseño, para asegurarse de que todo cumpla con las regulaciones. Por ejemplo, hablará con el equipo encargado de construir los portales de pacientes para ver si las cosas que desean hacer cumplen con las regulaciones. Además, ayuda a responder preguntas sobre qué tipo de base de datos sería la mejor o si hay un proveedor de la nube que se pueda configurar de acuerdo con la normativa. Jeremy encuentra que cuanto más se educa y recibe capacitación en aspectos técnicos, más útil puede ser en el proceso.