Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Leyes Internacionales de Privacidad de Datos: Una Guía

Leyes Internacionales de Privacidad de Datos: Una Guía

Sep 18, 2023

El impulso por la data privacy ha explotado en los últimos años, con regulaciones como el General Data Protection Regulation (GDPR) de la UE y la California Consumer Privacy Act (CCPA) liderando la vanguardia. Esto significa que consumidores alrededor del mundo están obteniendo derechos sobre cómo se recopila, almacena, procesa y vende su información, así como más formas de responsabilizar a las empresas cuando prácticas pobres de data security conducen a data breaches que involucran información personal identificable (PII).

Con el GDPR cubriendo la UE y el CCPA cubriendo California, aquellos que no son residentes de esas regiones pueden preguntarse si alguna regulación de data privacy los protege. La respuesta es: “Depende”. No todos los estados de EE. UU. o países tienen regulaciones de privacidad de datos.

Sin embargo, hay muchas razones para ser optimistas. Gartner predice que para 2024, la regulación moderna de la privacidad cubrirá la mayoría de los datos de los consumidores. Sin embargo, el mismo informe predice que menos del 10% de las empresas habrán aprovechado con éxito la privacidad como una ventaja competitiva. Contrariamente a lo que muchas empresas asumen, las nuevas regulaciones de privacidad son business enablers, no enemigos. Esto se debe a que pueden ayudarte a optimizar los procesos empresariales, mejorar la gestión de datos y lograr eficiencias de costos.

A medida que los flujos de datos se globalizan cada vez más, las empresas deben obtener un sólido entendimiento de las leyes internacionales de privacidad de datos. De lo contrario, podrían enfrentarse a severas multas y otras penalizaciones. También fracasarán en ofrecer a los consumidores la protección de datos que merecen, dañando su capacidad para atraer y retener clientes.

Lea esta guía para aprender más sobre las leyes de privacidad de datos en todo el mundo — y cómo cumplir con sus requisitos para garantizar el cumplimiento.

Leyes y Regulaciones de Privacidad de Datos

Ahora que tiene un entendimiento claro de cómo funcionan generalmente las leyes de privacidad de datos, aquí tiene resúmenes de las leyes de privacidad de datos más importantes alrededor del mundo.

Unión Europea (UE): Reglamento General de Protección de Datos (GDPR)

La GDPR es la ley de seguridad más estricta del mundo. Entró en vigor el 25 de mayo de 2018 e impone obligaciones a cualquier empresa del mundo que recolecte o procese datos relacionados con residentes de la UE.

Los principales principios, obligaciones y derechos bajo el GDPR son los siguientes:

  • Minimización de datos — Las empresas no deben recopilar más datos personales de los necesarios de sus usuarios.
  • Integridad y confidencialidad (seguridad) — Las empresas deben proteger los datos personales contra el procesamiento ilegal o no autorizado, así como contra daños accidentales, pérdida o destrucción.
  • Responsabilidad — Las empresas deben documentar cómo se manejan los datos personales y limitar el acceso a los datos a las personas que realmente necesitan acceder a esa información.
  • Acceso a los datos — Las empresas deben responder a las solicitudes de los sujetos de datos para obtener copias de sus datos personales en un plazo de un mes.
  • Derecho a editar información — Los sujetos de datos tienen el derecho a que una empresa edite sus datos personales si son inexactos.
  • Derecho de supresión — Los sujetos de datos también tienen el poder de solicitar la eliminación de sus datos personales.
  • Limitaciones en el procesamiento automatizado —El GDPR otorga a los sujetos de datos el derecho a no estar sujetos a decisiones automáticas que puedan producir un efecto significativo sobre ellos.
  • Portabilidad de datos — Los sujetos de datos tienen el derecho de cambiar fácilmente a otros proveedores de servicios.

Las multas por violar el GDPR son muy altas. Las infracciones menos graves pueden resultar en una multa de hasta 10 millones de euros o el 2% de los ingresos anuales globales de la empresa del año financiero anterior, lo que sea mayor. Las infracciones más graves pueden conllevar una multa de hasta 20 millones de euros o el 4% de los ingresos anuales globales de la empresa del año financiero anterior, lo que sea mayor.

Estados Unidos: Ley de Privacidad del Consumidor de California (CCPA) y Ley de Derechos de Privacidad de California (CPRA)

A diferencia de la UE, Estados Unidos no cuenta con una ley de privacidad integral como el GDPR. Sin embargo, varios estados, incluido California, han aprobado leyes y regulaciones de privacidad de datos para proteger la información personal de los ciudadanos. Estas incluyen la CCPA y su predecesora, la CPRA.

La CCPA fue aprobada en 2018 y otorga a los consumidores californianos más control sobre los datos personales que las empresas recopilan sobre ellos. Desde el 1 de enero de 2023, ha sido modificada por la CPRA.

La CPRA se aplica a las empresas que cumplen con los siguientes requisitos:

  • Tener unos ingresos anuales brutos de más de $25 millones
  • Comparta, compre o venda los datos personales de al menos 100,000 residentes de California
  • Obtener el 50% o más de sus ingresos anuales de la venta o compartición de datos personales

Al igual que el GDPR, el CPRA otorga a los consumidores el derecho a:

  • Sepa quién está recopilando su información personal, cómo se utiliza y a quién se divulga o comparte
  • Limite el uso de sus datos personales
  • Eliminar o corregir sus datos personales

De manera similar, requiere que las empresas:

  • Informar a los consumidores cómo se recopila y procesa sus datos personales
  • Solo recolecte datos personales para fines legítimos divulgados y en una medida relevante
  • Permita a los consumidores eliminar, obtener, corregir y compartir su información personal

Las empresas que no cumplan con los requisitos de la CPRA pueden ser multadas hasta con $7,500 por infracción intencional y $2,500 por violación no intencional.

Canadá: Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA)

La ley federal de privacidad de Canadá, PIPEDA, se promulgó en el año 2000. Se aplica a las organizaciones del sector privado en Canadá que utilizan, recopilan o divulgan datos personales durante actividades comerciales.

  • PIPEDA define una actividad comercial como cualquier transacción, conducta o acto de carácter comercial, incluyendo el arrendamiento, trueque o venta de listas de miembros, donantes o de recaudación de fondos.
  • Bajo PIPEDA, información personal incluye cualquier información subjetiva o factual, registrada o no, sobre una persona identificable. Esto incluye edad, ingresos, nombre, tipo de sangre, archivos de empleados, opiniones y acciones disciplinarias.

Las empresas deben seguir los 10 principios de la información justa para cumplir con PIPEDA:

  • Responsabilidad — Las organizaciones deben cumplir con los 10 principios de información justa, nombrar a alguien para el cumplimiento de PIPEDA de su empresa y desarrollar e implementar prácticas y políticas de información personal.
  • Identificación de propósitos — Las empresas deben identificar y documentar sus propósitos para recopilar información personal, y comunicar a los clientes por qué necesitan su información personal.
  • Consentimiento — Las empresas deben obtener el consentimiento de cada persona antes de recopilar su información.
  • Limitaciones en la recolección de datos — Las organizaciones solo pueden recopilar la información que necesitan para cumplir con un propósito legítimo e identificado.
  • Uso, divulgación y retención limitados — Las empresas solo pueden usar o divulgar datos personales para los fines identificados para los cuales se recopilaron.
  • Precisión — Las empresas deben minimizar la posibilidad de utilizar datos incorrectos al tomar una decisión sobre una persona o al divulgar información a terceros.
  • Salvaguardas — Las organizaciones deben proteger los datos personales de acuerdo con su sensibilidad y proteger todos los datos personales contra el robo, pérdida y acceso no autorizado, copia, divulgación, modificación o uso.
  • Apertura — Las empresas deben tener prácticas de gestión de información personal detalladas que sean claras, fáciles de entender y estén fácilmente disponibles.
  • Acceso individual — Las personas tienen el derecho de acceder a los datos personales que una empresa tiene sobre ellos.
  • Derecho a impugnar el cumplimiento — Las personas tienen el derecho de impugnar el cumplimiento de una empresa con los principios de información justa.

Las organizaciones pueden ser multadas hasta con $100,000 canadienses por cada violación.

Brasil: Ley General de Protección de Datos (LGPD)

La LGPD de Brasil está estrechamente modelada a partir del GDPR de la UE y es la regulación de privacidad de datos más grande del mundo después del GDPR y el CCPA. Su objetivo principal es unificar 40 regulaciones diferentes, a menudo específicas de cada industria, y resolver conflictos que surgen debido al gran número de diferentes regulaciones de privacidad de datos en el país.

La regulación se aplica a organizaciones que procesan datos en Brasil, procesan datos personales recopilados en Brasil o procesan datos personales al proporcionar bienes o servicios en Brasil. Al igual que GDPR y CCPA, una empresa no necesita tener su sede en Brasil para verse afectada por LGPD.

Bajo la LGPD, la persona a la que se aplican los datos personales se considera un holder, y los holders obtienen muchos derechos con respecto a sus datos personales. Esto incluye, pero no se limita a:

  • Acceso a los datos personales de uno
  • Corrección de datos personales desactualizados o inexactos por otros motivos
  • Eliminación o anonimización de datos personales que no cumplen con LGPD o que se procesan sin el consentimiento del titular
  • La capacidad de revocar el consentimiento previo de uno
  • Información sobre cómo se utiliza los datos de uno y con quién se comparten esos datos

El artículo 18 de LGPD cubre todos los derechos del titular de los datos bajo la regulación, y artículos adicionales tratan sobre multas y otras penalizaciones para aquellos que se encuentren en incumplimiento.

Lea la entrada de blog relacionada

Leyes emergentes de privacidad de datos e impacto global

Además de las leyes mencionadas, también debería prestar atención a las siguientes leyes emergentes de privacidad de datos.

India: Proyecto de Ley de Protección de Datos Personales (PDPB)

Este proyecto de ley todavía está en forma de borrador, pero vale la pena discutirlo ya que también está basado en el GDPR, el estándar de oro actual para la regulación de la privacidad de los datos. Si se promulga, el PDPB se aplicará a las organizaciones que procesen datos personales recopilados, divulgados o procesados en India, por lo tanto, al igual que el GDPR, tiene un impacto internacional.

Lo que está cubierto bajo PDPB se asemeja también al GDPR. Los consumidores obtienen derechos para acceder, corregir y eliminar sus datos, junto con el derecho al olvido y la portabilidad de datos entre organizaciones.

Sin embargo, el hecho de que una organización esté preparada para el GDPR no significa necesariamente que esté lista para el PDPB. Las dos regulaciones tienen ligeras diferencias de alcance, y el PDPB aún no ha sido finalizado. Los detalles específicos de la regulación están sujetos a cambios, y cualquier organización con vínculos a India debería estar atenta a ello.

Otras leyes de privacidad de datos notables

Otras leyes de protección de datos que vale la pena mencionar incluyen:

Frameworks

También existen marcos de trabajo que pueden ayudar a las organizaciones a cumplir con la legislación de privacidad de datos, incluyendo:

  • El National Institute of Standards and Technology’s (NIST) Privacy Framework es una herramienta voluntaria para ayudar a las empresas a identificar y gestionar los riesgos de privacidad.
  • La Cooperación Económica Asia-Pacífico (APEC) Cross-Border Privacy Rules (CBPR)crea un marco para la cooperación regional en la aplicación de las leyes de privacidad.
  • ISO/IEC 27001 es la norma más conocida en el mundo para un sistema de gestión de seguridad de la información (ISMS).

Cómo Netwrix puede ayudarte a cumplir con las leyes de privacidad de datos

Cumplir con las leyes globales aplicables de privacidad de datos es vital para evitar multas costosas, daño a la reputación, demandas y otros costos. Una de las maneras más efectivas en términos de costos para lograr, mantener y demostrar el cumplimiento es adoptar la Netwrix Compliance Audit Solution. Esta solución confiable, poderosa e intuitiva minimiza el estrés y el tiempo de preparación de auditorías y te empodera para responder preguntas durante las auditorías de cumplimiento rápidamente. Puedes:

  • Descubra dónde se encuentra su información regulada y restrinja el acceso a ella.
  • Haga cumplir políticas de password policies fuertes.
  • Detecte amenazas en sus primeras etapas.
  • Establezca y mantenga configuraciones de sistema seguras.
  • Producir evidencia de fácil lectura para los auditores.

¿Interesado en aprender más sobre cómo la Compliance Audit Solution de Netwrix puede ayudar a su organización? Solicite su one-to-one demo hoy.

GDPR para Principiantes: Qué es, Qué Esperar y Cómo Prepararse

Descargar guía

Preguntas Frecuentes

¿Cuántos países tienen leyes de privacidad?

Según la Conferencia de las Naciones Unidas sobre Comercio y Desarrollo (UNCTAD), 137 de 194 países han implementado legislación sobre privacidad de datos. En total, el 71% de los países cuentan con regulaciones de privacidad, el 9% de los países tienen legislación en proyecto y el 15% de los países no tienen legislación.

Debido a que la mayoría de los países tienen leyes de privacidad y el flujo de información se está globalizando cada vez más, las empresas deben establecer políticas para asegurar el cumplimiento de estas leyes. De lo contrario, podrían enfrentarse a costosas multas y sufrir pérdidas de reputación.

¿Existe una ley internacional sobre la privacidad de los datos?

Sí. El Reglamento General de Protección de Datos (GDPR) de la Unión Europea es una ley de privacidad internacional que afecta a cualquier organización que procese o almacene la información de cualquier residente de la UE.

Otras leyes de privacidad de datos estatales, federales y regionales con aplicaciones internacionales incluyen la California Consumer Privacy Act (CPRA), la Personal Information Protection Law (PIPL) de China y la Privacy Act 1988 de Australia.

¿Cuáles son las principales leyes globales de privacidad de datos?

Las principales leyes de privacidad mundial incluyen:

  • El Reglamento General de Protección de Datos (GDPR) de la Unión Europea
  • Ley General de Protección de Datos de Brasil
  • Ley de Protección de la Información Personal de China (PIPL)
  • Ley de Privacidad del Consumidor de California (CPRA)
  • Ley de Privacidad de Australia de 1988

¿Cuántas leyes globales de privacidad de datos hay?

Al menos 17 países y regiones tienen leyes de privacidad de datos globales existentes o pendientes similares al GDPR. Como tal, deberías comenzar a preparar tu empresa para el cumplimiento del GDPR, PIPL y otras regulaciones globales de privacidad de datos.

¿Cuáles son los principios de las leyes de privacidad?

A pesar de sus diferencias superficiales, todas las leyes de privacidad se basan en los mismos principios. Estos incluyen:

  • Consentimiento — Las empresas deben obtener el consentimiento informado de las personas antes de almacenar o compartir su información. El consentimiento otorga a las personas control sobre sus datos personales.
  • Limitación de la finalidad — Las organizaciones deben limitar el uso de datos personales para fines específicos y legítimos. Esto asegura que lo que haces con los datos de los sujetos de datos coincide con lo que les dijiste.
  • Minimización de datos — Las empresas solo pueden recopilar y retener los datos personales necesarios. Esto reduce el impacto de una violación.
  • Derechos individuales — Las organizaciones deben otorgar a los sujetos de datos derechos sobre sus datos personales, incluyendo el derecho de acceso, rectificación y supresión.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Craig Riddell

Field CISO NAM

Craig es un líder en seguridad de la información galardonado, especializado en gestión de identidades y accesos. En su rol de Field CISO NAM en Netwrix, aprovecha su amplia experiencia en la modernización de soluciones de identidad, incluyendo experiencia con Privileged Access Management, privilegio cero permanente y el modelo de seguridad Zero Trust. Antes de unirse a Netwrix, Craig ocupó roles de liderazgo en HP y Trend Micro. Posee las certificaciones CISSP y Certified Ethical Hacker.

Aprende más sobre este tema

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad