La sensibilidad de la información es el control del acceso a la información o al conocimiento que podría resultar en la pérdida de una ventaja o nivel de seguridad si se revela a otros.
La pérdida, el uso indebido, la modificación o el acceso no autorizado a información confidencial pueden afectar negativamente la privacidad o el bienestar de un individuo, los secretos comerciales de una empresa o incluso la seguridad y las relaciones internacionales de una nación, según el nivel de sensibilidad y la naturaleza de la información. [1]
Información no sensible
Información pública
Esto se refiere a información que ya es un asunto de conocimiento o registro público. Con respecto a las organizaciones gubernamentales y privadas, cualquier miembro del público puede solicitar el acceso o la divulgación de dicha información, y a menudo existen procesos formales establecidos sobre cómo hacerlo. [2] La accesibilidad de los registros públicos en poder del gobierno es una parte importante de la transparencia del gobierno, la rendición de cuentas a sus ciudadanos y los valores de la democracia. [3] Además, los registros públicos pueden referirse a información sobre personas identificables que no se considera confidencial, incluidos, entre otros: registros del censo , antecedentes penales , archivos de registro de delincuentes sexuales y registro de votantes .
Información comercial de rutina
Esto incluye información comercial que no está sujeta a protección especial y que se puede compartir de forma rutinaria con cualquier persona dentro o fuera de la empresa.
Tipos de información sensible
La información confidencial se usa en un sentido general para referirse a información sensible cuyo acceso está sujeto a restricciones y puede referirse a información sobre un individuo así como a la que pertenece a una empresa.
Sin embargo, existen situaciones en las que la divulgación de información personal podría tener un efecto negativo en su propietario. Por ejemplo, una persona que intenta evitar a un acosador se inclinará a restringir aún más el acceso a dicha información personal. Además, el SSN o SIN de una persona , los números de tarjeta de crédito y otra información financiera pueden considerarse privados si su divulgación puede dar lugar a delitos como el robo de identidad o el fraude .
Algunos tipos de información privada, incluidos los registros de la atención médica , la educación y el empleo de una persona , pueden estar protegidos por leyes de privacidad . La divulgación no autorizada de información privada puede hacer que el perpetrador sea responsable de los recursos civiles y, en algunos casos, puede estar sujeto a sanciones penales.
Aunque a menudo se usan indistintamente, la información personal a veces se distingue de la información privada o información de identificación personal . Este último es distinto del primero en que la información privada se puede utilizar para identificar a un individuo único. La información personal, por otro lado, es información que pertenece a la vida privada de un individuo que no se puede utilizar para identificarlo de manera única. Esto puede variar desde el color favorito de una persona hasta los detalles de su vida doméstica. [4] Este último es un ejemplo común de información personal que también se considera confidencial, donde la persona que comparte estos detalles con un oyente de confianza preferiría que no se compartiera con nadie más, y compartirlos puede resultar en Consecuencias.
Información comercial confidencial
La información comercial confidencial se refiere a información cuya divulgación puede dañar la empresa. Dicha información puede incluir secretos comerciales, planes de ventas y marketing, planes de nuevos productos, notas asociadas con invenciones patentables, información de clientes y proveedores, datos financieros y más. [5]
Clasificado
La información clasificada generalmente se refiere a información que está sujeta a regulaciones especiales de clasificación de seguridad impuestas por muchos gobiernos nacionales, cuya divulgación puede dañar los intereses y la seguridad nacionales. El protocolo de restricción impuesto a dicha información se clasifica en una jerarquía de niveles de clasificación en casi todos los gobiernos nacionales del mundo, y los niveles más restringidos contienen información que puede causar el mayor peligro para la seguridad nacional si se filtra. El acceso autorizado se otorga a las personas según la necesidad de saber que también han pasado el nivel apropiado de autorización de seguridad . La información clasificada puede reclasificarse a un nivel diferente o desclasificarse (ponerse a disposición del público) según los cambios de situación o la nueva inteligencia.
La información clasificada también puede indicarse además con el método de comunicación o acceso. Por ejemplo, sólo para ojos "secretos" marcados de forma protectora o sólo para transferencias cifradas "secretas" marcadas de forma protectora. Indica que el documento debe ser leído físicamente por el destinatario y no puede ser discutido abiertamente, por ejemplo, a través de una conversación telefónica o que la comunicación solo puede enviarse utilizando medios encriptados. A menudo aparece erróneamente como significado solo para los ojos del destinatario previsto [6], la anomalía se hace evidente cuando también se utiliza la etiqueta adicional "No dentro del área con ventana".
Protección legal contra la divulgación no autorizada
Información personal y privada
Las preocupaciones sobre la privacidad de los datos existen en varios aspectos de la vida diaria donde se almacenan y recopilan datos personales, como en Internet , en registros médicos , registros financieros y expresión de opiniones políticas . En más de 80 países del mundo, la información de identificación personal está protegida por leyes de privacidad de la información , que describen los límites a la recopilación y el uso de información de identificación personal por parte de entidades públicas y privadas. Dichas leyes generalmente requieren que las entidades notifiquen de manera clara e inequívoca al individuo los tipos de datos que se recopilan, el motivo de la recopilación y los usos planificados de los datos. En los marcos legales basados en el consentimiento, también se requiere el consentimiento explícito de la persona. [7]
En la Unión Europea, la Directiva de protección de datos proporciona un estándar riguroso para la legislación de protección de la privacidad en todos los estados miembros. Aunque la Directiva no es legalmente vinculante en sí misma, se espera que todos los estados miembros promulguen su propia legislación nacional sobre privacidad dentro de los tres años posteriores a la adopción de la Directiva que cumpla con todos sus estándares. [8] Desde su adopción, la Directiva ha demostrado una influencia significativa en la legislación de privacidad de países no pertenecientes a la UE, a través de sus requisitos sobre las leyes de privacidad de países no miembros que participan en flujos transfronterizos de datos privados con países miembros de la UE. [9]
La UE ha aprobado el Reglamento general de protección de datos (GDPR), que reemplazará a la Directiva. El reglamento fue adoptado el 27 de abril de 2016. Entra en vigor a partir del 25 de mayo de 2018 después de un período de transición de dos años y, a diferencia de una directiva, no requiere que los gobiernos nacionales aprueben ninguna legislación habilitante y, por lo tanto, es directamente vinculante y aplicable. [10] "El nuevo régimen de protección de datos de la UE propuesto amplía el alcance de la ley de protección de datos de la UE a todas las empresas extranjeras que procesan datos de residentes de la UE. Proporciona una armonización de las normas de protección de datos en toda la UE, lo que facilita la tarea a los no -Las empresas europeas deben cumplir con estas regulaciones; sin embargo, esto tiene el costo de un estricto régimen de cumplimiento de protección de datos con severas sanciones de hasta el 4% de la facturación mundial ". [11]
El RGPD también trae un nuevo conjunto de "derechos digitales" para los ciudadanos de la UE en una época en la que el valor económico de los datos personales está aumentando en la economía digital. En Canadá, la Ley de Protección de la Información Personal y Documentos Electrónicos (PIPEDA) regula la recopilación y el uso de datos personales y documentos electrónicos por parte de organizaciones públicas y privadas. PIPEDA está en vigor en todas las jurisdicciones federales y provinciales, excepto en las provincias donde se determina que las leyes de privacidad existentes son "sustancialmente similares". [12]
Aunque no a través del marco unificado de información confidencial, Estados Unidos ha implementado una cantidad significativa de legislación sobre privacidad relacionada con diferentes aspectos específicos de la privacidad de los datos, con énfasis en la privacidad en las industrias de atención médica, financiera, comercio electrónico, educación, y tanto en el ámbito federal como en el federal. niveles estatales. Ya sea regulada o autorregulada, las leyes exigen establecer formas en las que el acceso a la información sensible se limite a las personas con diferentes roles, por lo que en esencia se requiere el establecimiento del modelo de "dominio de datos sensibles" [13] y los mecanismos de su protección. Algunos de los dominios tienen una guía en forma de modelos predefinidos como "Safe Harbor" de HIPAA, [14] basado en la investigación de Latanya Sweeny y métricas establecidas de la industria de la privacidad.
Además, muchos otros países han promulgado su propia legislatura con respecto a la protección de la privacidad de los datos, y más aún están en proceso de hacerlo. [15]
Información comercial confidencial
La confidencialidad de la información comercial sensible se establece a través de acuerdos de no divulgación , un contrato legalmente vinculante entre dos partes en una relación profesional. Los NDA pueden ser unidireccionales, como en el caso de que un empleado reciba información confidencial sobre la organización empleadora, o bidireccionales entre empresas que necesitan compartir información entre sí para lograr un objetivo comercial. Dependiendo de la gravedad de las consecuencias, una violación de la no divulgación puede resultar en la pérdida del empleo, la pérdida de contactos comerciales y de clientes, cargos penales o una demanda civil y una considerable suma en concepto de daños. [16] Cuando se firman NDA entre el empleador y el empleado al inicio del empleo, una cláusula de no competencia puede ser parte del acuerdo como una protección adicional de la información comercial sensible, donde el empleado acepta no trabajar para la competencia o comenzar su poseer negocios competidores dentro de un cierto tiempo o límite geográfico.
A diferencia de la información personal y privada, no existe un marco reconocido internacionalmente que proteja los secretos comerciales , ni siquiera una definición acordada del término "secreto comercial". [17] Sin embargo, muchos países y jurisdicciones políticas han tomado la iniciativa de dar cuenta de la violación de la confidencialidad comercial en sus leyes penales o civiles. Por ejemplo, bajo la Ley de Espionaje Económico de los Estados Unidos de 1996 , es un delito federal en los Estados Unidos apropiarse indebidamente de secretos comerciales con el conocimiento de que beneficiará a una potencia extranjera o dañará al propietario del secreto comercial. [18] Más comúnmente, la violación de la confidencialidad comercial se rige por el derecho civil, como en el Reino Unido . [19] En algunos países en desarrollo, las leyes sobre secretos comerciales son inexistentes o están poco desarrolladas y ofrecen poca protección sustancial. [20]
Información clasificada
En muchos países, la divulgación no autorizada de información clasificada es un delito y puede castigarse con multas, prisión o incluso la pena de muerte, según la gravedad de la violación. [21] [22] Para infracciones menos graves, se pueden imponer sanciones civiles, que van desde la reprimenda hasta la revocación de la autorización de seguridad y la posterior terminación del empleo. [23]
La denuncia de irregularidades es la divulgación intencional de información confidencial a un tercero con la intención de revelar presuntas acciones ilegales, inmorales o dañinas. [24] Hay muchos ejemplos de empleados gubernamentales actuales y anteriores que divulgan información clasificada sobre la mala conducta del gobierno nacional al público y los medios de comunicación, a pesar de las consecuencias penales que les esperan.
El espionaje , o espionaje, implica obtener información sensible sin el permiso o conocimiento de su titular. El uso de espías es parte de la recopilación de inteligencia nacional en la mayoría de los países y ha sido utilizado como estrategia política por los estados-nación desde la antigüedad. Es un conocimiento tácito en la política internacional que los países se están espiando unos a otros todo el tiempo, incluso a sus aliados. [25]
Información digital sensible
La seguridad informática es la seguridad de la información aplicada a la tecnología informática y de redes, y es un campo importante y en constante crecimiento en la informática. El término inseguridad informática , por otro lado, es el concepto de que los sistemas informáticos son inherentemente vulnerables a los ataques y, por lo tanto, a una carrera armamentista en evolución entre quienes explotan las vulnerabilidades existentes en los sistemas de seguridad y quienes luego deben diseñar nuevos mecanismos de seguridad.
En los últimos años han surgido una serie de problemas de seguridad a medida que cantidades cada vez mayores de información confidencial en todos los niveles han encontrado su existencia principal en forma digital. A nivel personal, el fraude de tarjetas de crédito , el fraude por Internet , y otras formas de robo de identidad se han convertido en una preocupación generalizada de que los individuos necesitan estar al tanto de sobre una base del día a día. La existencia de grandes bases de datos de información clasificada en redes informáticas también está cambiando el rostro de la política nacional e internacional. La guerra cibernética y el espionaje cibernético son cada vez más importantes para la seguridad nacional y la estrategia de las naciones de todo el mundo, y se estima que 120 naciones de todo el mundo están participando activamente en el desarrollo y despliegue de tecnología para estos fines. [26]
Las filosofías y culturas de Internet como la gobernanza de código abierto , el hacktivismo y el popular lema hacktivista "la información quiere ser libre " reflejan algunos de los cambios culturales en la percepción hacia el secreto político y gubernamental. El popular y controvertido WikiLeaks es solo una de las muchas manifestaciones de un sentimiento cultural creciente que se está convirtiendo en un desafío adicional para la seguridad e integridad de la información clasificada. [27]
Ver también
- Espionaje
- Estándar federal 1037C y el glosario de seguridad de los sistemas de información nacionales
- Control de acceso obligatorio
- Protocolo de privacidad
- Ley de privacidad de la información
enlaces externos
- ISOO
- CIA
- Preguntas frecuentes sobre la autorización de seguridad del FBI
Notas
- ^ "Información sensible" (definición) 23 de agosto de 1996. Consultado el 9 de febrero de 2013.
- ^ Comisionado de información y privacidad "Acceso a información pública", Ontario, Canadá. Consultado el 11 de febrero de 2013.
- ^ "Responsabilidad y transparencia: principios esenciales" Web Democracy. Consultado el 11 de febrero de 2013.
- ^ "Información privada y personal" Common Sense Media Inc., 2013. Consultado el 9 de febrero de 2013.
- ^ "Información confidencial y secretos comerciales" MaRS, 8 de diciembre de 2009. Consultado el 9 de febrero de 2013.
- ^ http://www.thefreedictionary.com/eyes-only
- ^ "Privacidad básica" (conferencia). Universidad de Toronto, 24 de enero de 2012. Consultado el 9 de febrero de 2013.
- ^ "Directiva 95/46 / CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 sobre la protección de las personas con respecto al tratamiento de datos personales y sobre la libre circulación de dichos datos" Parlamento Europeo, Consejo. 23 de noviembre de 1995. Consultado el 9 de febrero de 2013.
- ^ Mason, J. "The Influence of the European Commission Data Privacy Protection Directive on 'Third Countries'" Documento presentado en la reunión anual de la International Communication Association, TBA, San Francisco, CA, 24 de mayo de 2007. Consultado el 9 de febrero de 2007. , 2013.
- ^ Blackmer, WS (5 de mayo de 2016). "GDPR: preparándose para el nuevo reglamento general de protección de datos de la UE" . Grupo de Derecho de la Información . InfoLawGroup LLP. Archivado desde el original el 14 de mayo de 2018 . Consultado el 22 de junio de 2016 .
- ^ "Nuevo proyecto de régimen europeo de protección de datos" . Law Patent Group . 2 de febrero de 2012 . Consultado el 9 de enero de 2018 .
- ^ "DEPARTAMENTO DE INDUSTRIA: PROTECCIÓN DE INFORMACIÓN PERSONAL Y LEY DE DOCUMENTOS ELECTRÓNICOS" Archivado 2013-06-02 en Wayback Machine Canada Gazette, 03 de abril de 2002. Consultado el 9 de febrero de 2013.
- ^ "Descubrimiento de datos sensibles"
- ^ "Métodos para la desidentificación de PHI" . 7 de septiembre de 2012.
- ^ "Leyes de privacidad internacional" InformationShield. Consultado el 9 de febrero de 2013.
- ^ Niznik, JS "Acuerdo de confidencialidad " About.com, 2002. Consultado el 9 de febrero de 2013.
- ^ Magri, KA "Aspectos internacionales de la ley de secretos comerciales" 1997. Consultado el 9 de febrero de 2013.
- ^ 104º Congreso de Estados Unidos. "LEY DE ESPIONAJE ECONÓMICO DE 1996" LEY PÚBLICA 104-294, OCT. 11, 1996. Consultado el 9 de febrero de 2013.
- ^ Bently, L. "Violación de la confianza: lo básico" (conferencia). Consultado el 9 de febrero de 2013.
- ^ Kransdorf, G. "Ley de propiedad intelectual, comercio y transferencia de tecnología: Estados Unidos y México" Boston College Third World Law Journal 7 (2): 277-295. 1987. Consultado el 9 de febrero de 2013.
- ^ 113º Congreso de Estados Unidos. "Divulgación de información clasificada" Instituto de Información Legal, Facultad de Derecho de la Universidad de Cornell. Consultado el 9 de febrero de 2013.
- ^ "Cargos en información clasificada y casos de seguridad nacional" Proyecto James Madison, obtenido el 9 de febrero de 2013.
- ^ Elsea, JK "La protección de la información clasificada: el marco legal" Servicio de investigación del Congreso, 10 de enero de 2013. Consultado el 9 de febrero de 2013.
- ^ Morley, H., Cohen-Lyons, J. "DENUNCIAS EN EL SECTOR PÚBLICO: UN EQUILIBRIO DE DERECHOS E INTERESES" Public Sector Digest, primavera de 2012. Pp 16-18. Consultado el 9 de febrero de 2013.
- ^ Woolsey, RJ "Por qué espiamos a nuestros aliados" The Wall Street Journal: 17 de marzo de 2000. Consultado el 9 de febrero de 2013.
- ^ Brodkin, J. "Ciberataques patrocinados por el gobierno en aumento, McAfee dice" Archivado el 17 de junio de 2013 en Wayback Machine Networked World: 29 de noviembre de 2007. Consultado el 9 de febrero de 2013.
- ↑ Ludlow, P. "WikiLeaks and Hacktivist Culture" The Nation : 15 de septiembre de 2010. Consultado el 9 de febrero de 2013.