La sensibilidad de la información es el control del acceso a la información o al conocimiento que podría resultar en la pérdida de una ventaja o un nivel de seguridad si se divulga a otros. [1] La pérdida, el mal uso, la modificación o el acceso no autorizado a información sensible pueden afectar negativamente la privacidad o el bienestar de un individuo, los secretos comerciales de una empresa o incluso la seguridad y las relaciones internacionales de una nación dependiendo del nivel de sensibilidad y la naturaleza de la información. [2]
Esto se refiere a información que ya es de conocimiento público. En el caso de organizaciones gubernamentales y privadas, cualquier miembro del público puede solicitar el acceso a dicha información o su divulgación, y a menudo existen procesos formales establecidos para hacerlo. [3] La accesibilidad de los registros públicos en poder del gobierno es una parte importante de la transparencia gubernamental, la rendición de cuentas a sus ciudadanos y los valores de la democracia. [4] Los registros públicos también pueden referirse a información sobre personas identificables que no se considera confidencial, incluidos, entre otros: registros del censo , antecedentes penales , archivos de registro de delincuentes sexuales y registro de votantes .
Esto incluye información comercial que no está sujeta a protección especial y puede compartirse rutinariamente con cualquier persona dentro o fuera de la empresa.
La información confidencial se utiliza en un sentido general para significar información sensible cuyo acceso está sujeto a restricciones y puede referirse tanto a información sobre un individuo como a aquella que pertenece a una empresa.
Sin embargo, existen situaciones en las que la divulgación de información personal podría tener un efecto negativo en su titular. Por ejemplo, una persona que intenta evitar a un acosador se sentirá inclinada a restringir aún más el acceso a dicha información personal. Además, el número de seguro social o el número de seguro social de una persona , los números de tarjetas de crédito y otra información financiera pueden considerarse privados si su divulgación puede dar lugar a delitos como el robo de identidad o el fraude .
Algunos tipos de información privada, incluidos los registros de atención médica , educación y empleo de una persona, pueden estar protegidos por leyes de privacidad . [5] La divulgación no autorizada de información privada puede hacer que el autor sea responsable de recursos civiles y, en algunos casos, puede estar sujeto a sanciones penales.
Aunque a menudo se utilizan indistintamente, la información personal a veces se distingue de la información privada o información personalmente identificable . [6] Esta última se distingue de la primera en que la información privada se puede utilizar para identificar a un individuo único. La información personal, por otro lado, es información que pertenece a la vida privada de un individuo que no se puede utilizar para identificar a ese individuo de manera única. Esto puede ir desde el color favorito de un individuo hasta los detalles de su vida doméstica. [7] Este último es un ejemplo común de información personal que también se considera sensible, donde el individuo que comparte estos detalles con un oyente de confianza preferiría que no se compartieran con nadie más, y el compartirlo puede resultar en consecuencias no deseadas.
La información comercial confidencial (CBI) se refiere a información cuya divulgación puede perjudicar a la empresa. Dicha información puede incluir secretos comerciales , planes de ventas y marketing, planes de nuevos productos, notas asociadas con invenciones patentables, información de clientes y proveedores, datos financieros y más. [8]
En virtud de la TSCA , la información confidencial se define como información de propiedad exclusiva, considerada confidencial para el remitente, cuya divulgación causaría un daño comercial sustancial al propietario. A partir de 2016, la EPA de los EE. UU. puede revisar y determinar si la reclamación de una empresa es válida. [9]
La información clasificada se refiere generalmente a información que está sujeta a regulaciones especiales de clasificación de seguridad impuestas por muchos gobiernos nacionales, cuya divulgación puede causar daño a los intereses y la seguridad nacionales. El protocolo de restricción impuesto a dicha información se clasifica en una jerarquía de niveles de clasificación en casi todos los gobiernos nacionales del mundo, y los niveles más restringidos contienen información que puede causar el mayor peligro para la seguridad nacional si se filtra. Se otorga acceso autorizado a las personas que necesitan saber y que también han pasado el nivel apropiado de autorización de seguridad . La información clasificada puede reclasificarse a un nivel diferente o desclasificarse (ponerse a disposición del público) según los cambios de situación o la nueva información de inteligencia.
La información clasificada también puede indicarse con el método de comunicación o acceso. Por ejemplo, marcado de manera protectora como "secreto" para solo los ojos o marcado de manera protectora como "secreto" para transferencia cifrada únicamente. Esto indica que el destinatario debe leer físicamente el documento y no puede discutirse abiertamente, por ejemplo, durante una conversación telefónica, o que la comunicación solo puede enviarse utilizando medios cifrados. A menudo se indica erróneamente que significa que solo puede ser visto por el destinatario previsto [10], pero la anomalía se hace evidente cuando también se utiliza la etiqueta adicional "No dentro del área de la ventana".
Las preocupaciones sobre la privacidad de los datos existen en varios aspectos de la vida diaria dondequiera que se almacenen y recopilen datos personales, como en Internet , en los registros médicos , los registros financieros y la expresión de opiniones políticas . En más de 80 países del mundo, la información de identificación personal está protegida por leyes de privacidad de la información , que describen los límites a la recopilación y el uso de información de identificación personal por parte de entidades públicas y privadas. Dichas leyes generalmente requieren que las entidades notifiquen de manera clara e inequívoca a la persona sobre los tipos de datos que se recopilan, su motivo de recopilación y los usos planificados de los datos. En los marcos legales basados en el consentimiento, también se requiere el consentimiento explícito de la persona. [11]
La UE aprobó el Reglamento General de Protección de Datos (RGPD), que sustituyó a la anterior Directiva de Protección de Datos . El reglamento se adoptó el 27 de abril de 2016. Entró en vigor el 25 de mayo de 2018 tras un período de transición de dos años y, a diferencia de una directiva, no exige que los gobiernos nacionales aprueben ninguna legislación habilitante, por lo que es directamente vinculante y aplicable. [12] "El nuevo régimen de protección de datos de la UE propuesto amplía el alcance de la ley de protección de datos de la UE a todas las empresas extranjeras que procesan datos de residentes de la UE. Prevé una armonización de las normas de protección de datos en toda la UE, lo que facilita que las empresas no europeas cumplan con estas normas; sin embargo, esto se produce a costa de un estricto régimen de cumplimiento de la protección de datos con severas sanciones de hasta el 4% de la facturación mundial". [13] El RGPD también aporta un nuevo conjunto de "derechos digitales" para los ciudadanos de la UE en una época en la que el valor económico de los datos personales está aumentando en la economía digital.
En Canadá, la Ley de Protección de la Información Personal y de los Documentos Electrónicos (PIPEDA, por sus siglas en inglés) regula la recopilación y el uso de datos personales y documentos electrónicos por parte de organizaciones públicas y privadas. La PIPEDA está en vigor en todas las jurisdicciones federales y provinciales, excepto en las provincias en las que se determina que las leyes de privacidad existentes son “sustancialmente similares”. [14]
Aunque no a través de un marco unificado de información sensible, Estados Unidos ha implementado una cantidad significativa de legislación sobre privacidad relacionada con diferentes aspectos específicos de la privacidad de los datos, con énfasis en la privacidad en los sectores de la salud, las finanzas, el comercio electrónico, la educación y tanto a nivel federal como estatal. Ya sea que estén reguladas o autorreguladas, las leyes requieren establecer formas en las que el acceso a la información sensible esté limitado a las personas con diferentes roles, lo que en esencia requiere el establecimiento del modelo de "dominio de datos sensibles" [15] y mecanismos para su protección. Algunos de los dominios tienen una guía en forma de modelos predefinidos como "Safe Harbor" de HIPAA, [16] basado en la investigación de Latanya Sweeny y métricas establecidas de la industria de la privacidad.
Además, muchos otros países han promulgado su propia legislación sobre la protección de la privacidad de los datos, y muchos más todavía están en proceso de hacerlo. [17]
La confidencialidad de la información empresarial sensible se establece mediante acuerdos de confidencialidad , un contrato legalmente vinculante entre dos partes en una relación profesional. Los NDA pueden ser unidireccionales, como en el caso de un empleado que recibe información confidencial sobre la organización que lo emplea, o bidireccionales entre empresas que necesitan compartir información entre sí para lograr un objetivo comercial. Dependiendo de la gravedad de las consecuencias, una violación de la confidencialidad puede resultar en la pérdida del empleo, la pérdida de negocios y contactos con clientes, cargos penales o una demanda civil y una suma considerable en daños. [18] Cuando los NDA se firman entre el empleador y el empleado al inicio del empleo, una cláusula de no competencia puede ser parte del acuerdo como una protección adicional de la información comercial sensible, donde el empleado acepta no trabajar para competidores o comenzar su propio negocio competidor dentro de un cierto tiempo o límite geográfico.
A diferencia de la información personal y privada, no existe un marco internacionalmente reconocido que proteja los secretos comerciales , o incluso una definición acordada del término "secreto comercial". [19] Sin embargo, muchos países y jurisdicciones políticas han tomado la iniciativa de dar cuenta de la violación de la confidencialidad comercial en sus leyes penales o civiles. Por ejemplo, según la Ley de Espionaje Económico de los Estados Unidos de 1996 , es un delito federal en los Estados Unidos apropiarse indebidamente de secretos comerciales con el conocimiento de que beneficiará a una potencia extranjera o perjudicará al propietario del secreto comercial. [20] Más comúnmente, la violación de la confidencialidad comercial cae bajo el derecho civil, como en el Reino Unido . [21] En algunos países en desarrollo, las leyes sobre secretos comerciales son inexistentes o poco desarrolladas y ofrecen poca protección sustancial. [22]
En muchos países, la divulgación no autorizada de información clasificada es un delito penal y puede castigarse con multas, penas de prisión o incluso la pena de muerte, según la gravedad de la infracción. [23] [24] En el caso de infracciones menos graves, pueden imponerse sanciones civiles, que van desde una reprimenda hasta la revocación de la autorización de seguridad y el posterior despido. [25]
La denuncia de irregularidades es la divulgación intencional de información confidencial a un tercero con la intención de revelar presuntas acciones ilegales, inmorales o de otro modo perjudiciales. [26] Hay muchos ejemplos de empleados gubernamentales actuales y anteriores que revelan información clasificada sobre la mala conducta del gobierno nacional al público y a los medios de comunicación, a pesar de las consecuencias penales que les esperan.
El espionaje consiste en obtener información confidencial sin el permiso o el conocimiento de su titular. El uso de espías forma parte de la recopilación de información de inteligencia nacional en la mayoría de los países y ha sido utilizado como estrategia política por los estados-nación desde la antigüedad. En la política internacional, es un hecho tácito que los países se espían entre sí todo el tiempo, incluso a sus aliados. [27]
La seguridad informática es la seguridad de la información aplicada a la informática y a la tecnología de redes, y es un campo significativo y en constante crecimiento en la ciencia informática. El término inseguridad informática , por otro lado, es el concepto de que los sistemas informáticos son inherentemente vulnerables a los ataques y, por lo tanto, una carrera armamentista en evolución entre quienes explotan las vulnerabilidades existentes en los sistemas de seguridad y quienes deben diseñar nuevos mecanismos de seguridad.
En los últimos años han surgido una serie de preocupaciones en materia de seguridad a medida que cantidades cada vez mayores de información sensible a todos los niveles han encontrado su existencia primaria en forma digital. A nivel personal, el fraude con tarjetas de crédito , el fraude por Internet y otras formas de robo de identidad se han convertido en preocupaciones generalizadas de las que las personas deben estar al tanto día a día. La existencia de grandes bases de datos de información clasificada en redes informáticas también está cambiando el rostro de la política nacional e internacional. La guerra cibernética y el espionaje cibernético están adquiriendo cada vez más importancia para la seguridad nacional y la estrategia de las naciones de todo el mundo, y se estima que 120 naciones de todo el mundo participan actualmente activamente en el desarrollo y la implementación de tecnología para estos fines. [28]
Las filosofías y culturas de Internet, como la gobernanza de código abierto , el hacktivismo y el popular eslogan hacktivista “ la información quiere ser libre ”, reflejan algunos de los cambios culturales en la percepción del secreto político y gubernamental. El popular y controvertido WikiLeaks es sólo una de las muchas manifestaciones de un creciente sentimiento cultural que se está convirtiendo en un desafío adicional a la seguridad e integridad de la información clasificada. [29]