Ciberseguridad · Capítulo 11

Protección de Datos Personales: GDPR, Privacidad y Tus Derechos

Comprende qué son tus datos personales, cómo las leyes te protegen en Europa y América Latina, y qué pasos concretos puedes tomar para recuperar el control de tu información.

¿Qué Son los Datos Personales (PII)?

La Información de Identificación Personal (PII, por sus siglas en inglés: Personally Identifiable Information) abarca cualquier dato que pueda usarse para identificar, localizar o contactar a una persona específica. Comprender qué constituye PII es el primer paso para protegerte.

    Definición clave: Un dato personal es cualquier información que, sola o combinada con otros datos, permite identificar a una persona natural. Bajo el GDPR europeo, incluso un número IP dinámico se considera dato personal si puede vincularse a una persona.
  

Categorías de datos personales

Los datos personales se dividen en ordinarios y sensibles. Los datos ordinarios incluyen:

Identificadores básicos: nombre completo, número de documento de identidad, pasaporte, número de seguridad social
Contacto: dirección de correo electrónico, número de teléfono, dirección postal
Técnicos: dirección IP, identificadores de cookies, identificadores de dispositivo (IMEI, MAC address), datos de localización GPS
Financieros: número de tarjeta de crédito, cuenta bancaria, historial de transacciones
Comportamentales: historial de navegación, búsquedas en internet, hábitos de compra

Las categorías especiales de datos merecen protección reforzada porque su exposición puede causar discriminación o daños graves:

Datos de salud y condiciones médicas
Creencias religiosas o filosóficas
Opiniones políticas y afiliación sindical
Orientación sexual e identidad de género
Origen racial o étnico
Datos biométricos y genéticos (huella dactilar, reconocimiento facial, ADN)
Antecedentes penales

El GDPR: Los 7 Principios Fundamentales

El Reglamento General de Protección de Datos (GDPR, General Data Protection Regulation), vigente en la Unión Europea desde mayo de 2018, es la ley de privacidad más influyente del mundo. Sus principios han inspirado legislaciones en todo el planeta.

Principio	Qué significa	Ejemplo empresarial
1. Licitud, lealtad y transparencia	El tratamiento debe tener base legal (consentimiento, contrato, obligación legal, interés vital, interés público, interés legítimo). La empresa debe ser honesta sobre cómo usa los datos.	Netflix informa claramente en su política de privacidad que usa tus datos de visualización para personalizar recomendaciones.
2. Limitación de la finalidad	Los datos solo pueden usarse para el propósito declarado al recogerlos, no para otros fines incompatibles.	Un hospital no puede vender los datos médicos de sus pacientes a una aseguradora, aunque los recopiló para tratamiento clínico.
3. Minimización de datos	Recopilar solo los datos estrictamente necesarios para la finalidad declarada.	Una app de linterna no necesita acceso a tu lista de contactos ni tu ubicación GPS.
4. Exactitud	Los datos deben ser precisos y actualizados. Se deben tomar medidas razonables para corregir o eliminar datos inexactos.	Un banco debe permitirte actualizar tu dirección cuando te mudas, y corregir errores en tu historial crediticio.
5. Limitación del plazo de conservación	Los datos no deben conservarse más tiempo del necesario para la finalidad declarada.	Una tienda online no puede conservar tu historial de compras de 1995 si ya no eres cliente activo.
6. Integridad y confidencialidad	Garantizar seguridad adecuada: protección contra acceso no autorizado, pérdida accidental o destrucción.	LinkedIn debe cifrar las contraseñas de sus usuarios (aprendieron esta lección duramente tras la filtración de 2012).
7. Responsabilidad proactiva (Accountability)	La organización debe ser capaz de demostrar que cumple con todos los principios anteriores.	Google debe mantener registros de sus actividades de tratamiento, nombrar un Delegado de Protección de Datos (DPO) y documentar sus evaluaciones de impacto.

Tus 8 Derechos Bajo el GDPR

El GDPR otorga a los ciudadanos derechos concretos y ejercibles. Las empresas que operan en la UE o tratan datos de ciudadanos europeos deben responder a estas solicitudes en un plazo de 30 días.

1. Derecho de acceso

Puedes solicitar a cualquier empresa una copia de todos los datos personales que tienen sobre ti, además de información sobre cómo los usan y con quién los comparten. Es gratuito (salvo solicitudes excesivas o repetitivas).

2. Derecho de rectificación

Si tus datos son inexactos o incompletos, tienes derecho a que los corrijan. Útil para corregir errores en historiales crediticios o perfiles médicos.

3. Derecho al olvido (supresión)

Puedes solicitar que borren tus datos cuando ya no sean necesarios, hayas retirado el consentimiento, o el tratamiento sea ilícito. El caso más famoso es Google Spain SL vs. AEPD y Mario Costeja González (2014): el Tribunal de Justicia de la UE ordenó a Google eliminar de sus resultados de búsqueda un enlace a una noticia de 1998 sobre una subasta de viviendas por deudas del señor Costeja, porque la información era obsoleta e irrelevante en el presente. Desde entonces, Google ha recibido más de 5 millones de solicitudes de "derecho al olvido".

4. Derecho a la limitación del tratamiento

Puedes solicitar que restrinjan el uso de tus datos (que los "congelen") mientras resuelven una disputa sobre su exactitud o licitud.

5. Derecho a la portabilidad

Puedes solicitar tus datos en formato estructurado, legible por máquina (como CSV o JSON) para trasladarlos a otro proveedor. Por ejemplo, puedes descargar toda tu música de Spotify y migrarla a otro servicio.

6. Derecho de oposición

Puedes oponerte al tratamiento de tus datos para marketing directo en cualquier momento, con efecto inmediato. También puedes oponerte a tratamientos basados en interés legítimo.

7. Derecho a no ser objeto de decisiones automatizadas

Tienes derecho a no ser sujeto de decisiones que te afecten significativamente si se toman exclusivamente de forma automatizada (por algoritmos), sin intervención humana. Aplica a: aprobación de préstamos, selección de candidatos para empleo, puntuaciones de crédito.

8. Derecho a retirar el consentimiento

Si el tratamiento se basa en tu consentimiento, puedes retirarlo en cualquier momento. Retirar el consentimiento debe ser tan fácil como otorgarlo. Si para registrarte en un sitio hiciste un clic, para darte de baja también debe bastar un clic.

Brechas de Datos: Qué Hacen las Empresas (y Qué Deberían Hacer)

    Obligación de notificación: Bajo el GDPR, cuando una empresa sufre una brecha de datos que pone en riesgo los derechos de las personas, debe notificar a la autoridad supervisora en un plazo máximo de 72 horas. Si el riesgo es alto, también debe notificar directamente a los afectados.
  

Casos reales de brechas masivas

Equifax (2017): La agencia de crédito estadounidense expuso datos de 147 millones de personas, incluyendo números de seguridad social, fechas de nacimiento, direcciones y en algunos casos números de licencia de conducir y tarjetas de crédito. La brecha ocurrió porque no parchearon una vulnerabilidad conocida en Apache Struts. Resultado: $700 millones de dólares en multas y acuerdos, y el CEO renunció.

Facebook/Cambridge Analytica (2018): No fue técnicamente una "brecha" sino un abuso de permisos de API. Cambridge Analytica recopiló datos de 87 millones de usuarios de Facebook sin su consentimiento real, a través de una app de cuestionarios psicológicos. Los datos se usaron para perfilado político. Multa de la FTC: $5 mil millones de dólares.

Facebook (2021): Datos de 533 millones de usuarios de 106 países fueron publicados gratuitamente en un foro de hackers. Incluían números de teléfono, nombre completo, ubicación, cumpleaños y en algunos casos correo electrónico. Muchos de estos datos aún circulan.

Have I Been Pwned

El sitio haveibeenpwned.com, creado por el investigador de seguridad Troy Hunt, te permite ingresar tu dirección de correo electrónico para verificar si aparece en bases de datos filtradas conocidas. El sitio monitorea cientos de brechas y tiene más de 12 mil millones de cuentas comprometidas en su base de datos. Si tu correo aparece, debes cambiar la contraseña de ese servicio inmediatamente y en cualquier otro lugar donde usaras la misma contraseña.

Data Brokers: Los Que Saben Todo Sobre Ti

Los data brokers (intermediarios de datos) son empresas cuyo negocio principal es recopilar información personal de fuentes públicas y privadas, compilarla en perfiles detallados y venderla. No suelen tener relación directa contigo; simplemente te observan desde las sombras.

Qué saben sobre ti

Empresas como Acxiom tienen perfiles de más de 2.5 mil millones de personas en 60+ países. Conocen tu nombre, direcciones actuales y pasadas, familiares, ingresos estimados, nivel educativo, historial de compras, intereses, afiliaciones políticas estimadas, estado de salud estimado, y más de 3,000 atributos distintos por persona.

Spokeo y Whitepages son versiones más accesibles que permiten buscar a cualquier persona por nombre, número de teléfono, dirección o correo electrónico, y obtener un perfil detallado por una pequeña tarifa.

Cómo ejercer tu derecho de opt-out

OptOutPrescreen.com: Opt-out oficial de las ofertas de crédito y seguros preaprobados en EE.UU. (permanente o 5 años)
DMAchoice.org: Reduce el correo no deseado y el marketing directo en EE.UU.
Cada data broker individualmente: Acxiom tiene optoutprescreen.com, Spokeo tiene su propia página de opt-out. El proceso es tedioso pero necesario.
Leyes estatales en EE.UU.: California (CCPA/CPRA), Virginia (VCDPA), Colorado (CPA) dan derechos formales de opt-out a sus residentes.
Servicios de eliminación: DeleteMe, Privacy Bee — de pago pero automatizan el proceso.

Privacidad en Redes Sociales

Descarga tus datos de Facebook

Facebook te permite descargar todo lo que sabe sobre ti: Configuración → Tu información en Facebook → Descargar tu información. El archivo incluye mensajes privados, fotos, videos, historial de búsquedas dentro de Facebook, páginas que te gustan, eventos a los que asististe, anunciantes que tienen tu información de contacto, y los temas por los que los anunciantes te han dirigido. Muchos usuarios se sorprenden al ver la extensión de este archivo.

Configuración de privacidad esencial

Revisa quién puede ver tus publicaciones (Público vs. Amigos vs. Solo yo)
Desactiva el reconocimiento facial (si aún está disponible en tu región)
Revisa las aplicaciones de terceros que tienen acceso a tu cuenta (Configuración → Aplicaciones y sitios web) — elimina todas las que no uses activamente
Desactiva "Actividad fuera de Facebook" (el rastreo que hacen cuando navegas otros sitios web)
Revisa los datos de localización que has compartido

Cookies: Seguimiento en la Web

Tipo de Cookie	Descripción	Ejemplo
Sesión	Temporal, se elimina al cerrar el navegador	Mantiene tu carrito de compras mientras navegas una tienda
Persistente	Permanece en tu dispositivo por un tiempo definido	Recuerda que ya iniciaste sesión en Gmail
Primera parte	Creada por el sitio que visitas	Cookie de amazon.com cuando visitas amazon.com
Terceros	Creada por un dominio diferente al que visitas	Cookie de doubleclick.net (Google Ads) cuando visitas cualquier sitio con publicidad de Google
Rastreo	Sigue tu comportamiento a través de múltiples sitios web	Facebook Pixel instalado en millones de sitios registra qué páginas visitas aunque no estés en Facebook

    GDPR y cookies: El GDPR prohíbe las casillas pre-marcadas para el consentimiento de cookies. El usuario debe hacer una acción positiva para aceptar cookies no esenciales. Los botones "Aceptar todo" vs "Rechazar todo" deben ser igualmente prominentes. Los patrones oscuros ("dark patterns") como hacer el botón de rechazo diminuto o difícil de encontrar son ilegales bajo el GDPR.
  

Datos Biométricos: El Riesgo Especial

Los datos biométricos —huellas dactilares, reconocimiento facial, iris, voz, geometría facial— tienen una característica única: no puedes cambiarlos si son comprometidos. Si tu contraseña es hackeada, la cambias. Si tu huella dactilar es robada de una base de datos, no puedes obtener una nueva huella.

La empresa Clearview AI scrapeó más de 30 mil millones de fotos de redes sociales e internet para construir una base de datos de reconocimiento facial que vende a fuerzas policiales. Fue multada en Francia (20M€), Italia (20M€), Grecia, Reino Unido y Australia por violaciones de privacidad masivas.

Leyes de Protección de Datos en América Latina

País	Ley Principal	Autoridad	Característica clave
Perú	Ley 29733 (2011) + DS 003-2013	ANPD (Autoridad Nacional de Protección de Datos)	Registro obligatorio de bancos de datos personales
Colombia	Ley Estatutaria 1581/2012 + Decreto 1377/2013	Superintendencia de Industria y Comercio (SIC)	Derecho Hábeas Data consagrado constitucionalmente
Brasil	LGPD - Lei 13.709/2018 (vigente 2021)	ANPD (Autoridade Nacional de Proteção de Dados)	Muy similar al GDPR, 10 bases legales, sanciones hasta 2% de ingresos en Brasil
México	LFPDPPP (2010) + Reglamento 2011	INAI (Instituto Nacional de Transparencia)	Derechos ARCO: Acceso, Rectificación, Cancelación, Oposición
Argentina	Ley 25326 (2000)	AAIP (Agencia de Acceso a la Información Pública)	Primera ley de protección de datos de la región, considerada "adecuada" por la UE

Herramientas Prácticas para Proteger tu Privacidad

Auditoría de privacidad en tu teléfono

Revisa regularmente qué permisos tienes concedidos a cada app. Pregúntate: ¿por qué necesita esta app acceso a mi micrófono/cámara/contactos/ubicación? Si no tienes una respuesta clara, revoca el permiso.

iOS: Configuración → Privacidad y seguridad → revisa cada categoría de permiso
Android: Configuración → Privacidad → Administrador de permisos

Herramientas de privacidad recomendadas

Brave Browser: Bloquea rastreadores y anuncios por defecto, sin extensiones adicionales
DuckDuckGo: Motor de búsqueda que no rastrea tus búsquedas ni construye un perfil de ti
ProtonMail: Correo electrónico cifrado de extremo a extremo, con sede en Suiza (jurisdicción con fuertes leyes de privacidad)
Signal: Mensajería cifrada de extremo a extremo, protocolo de cifrado open source auditado
uBlock Origin: Extensión para bloquear rastreadores y publicidad en cualquier navegador

Ejercicio práctico: Esta semana, realiza estas tres acciones concretas:

Ve a haveibeenpwned.com y verifica tu correo electrónico principal y secundario
Descarga tus datos de Facebook y revisa qué saben sobre ti
Audita los permisos de las últimas 5 apps que instalaste en tu teléfono

Resumen / Summary

Los datos personales (PII) incluyen identificadores básicos, datos técnicos como IPs y cookies, y categorías especiales como salud, religión y biometría que requieren protección reforzada.
El GDPR se basa en 7 principios: licitud/transparencia, limitación de finalidad, minimización, exactitud, limitación de conservación, integridad/confidencialidad y responsabilidad proactiva.
Tienes 8 derechos ejercibles: acceso, rectificación, olvido (el caso Google Spain 2014 lo estableció), limitación, portabilidad, oposición, no automatización y retirada del consentimiento.
Las brechas masivas (Equifax 147M, Facebook 533M) demuestran la escala del problema; haveibeenpwned.com te permite verificar si tus datos han sido comprometidos.
Los data brokers como Acxiom recopilan miles de atributos sobre cada persona; puedes ejercer opt-out en OptOutPrescreen.com, DMAchoice.org y directamente con cada broker.
América Latina tiene legislación propia: Ley 29733 en Perú, Ley 1581 en Colombia, LGPD en Brasil (la más similar al GDPR), LFPDPPP en México y Ley 25326 en Argentina.
Los datos biométricos son especialmente sensibles porque no pueden cambiarse si son comprometidos; herramientas como Brave, DuckDuckGo y ProtonMail ayudan a reducir tu huella digital.