¿Qué es la privacidad de datos?
Definición según el AEPD: "La privacidad de datos es el derecho de las personas a controlar cómo se recogen, utilizan y comparten sus datos personales. No es solo una cuestión legal, sino un derecho fundamental protegido por el artículo 18.4 de la Constitución Española."
La privacidad de datos es el derecho de los individuos a controlar cómo se recopila, usa, comparte y retiene su información personal. En la era digital, donde los datos se han convertido en el "nuevo petróleo", la privacidad se ha transformado en un derecho fundamental y un requisito de cumplimiento normativo crítico para las organizaciones.
Diferencia clave: Seguridad ≠ Privacidad. La seguridad protege los datos contra accesos no autorizados; la privacidad garantiza que los datos se utilicen de manera ética, legal y con el consentimiento del titular.
Principios fundamentales del RGPD
1
Los 7 principios del RGPD
| Principio | Descripción |
|---|---|
| Licitud, lealtad y transparencia | Datos tratados de manera legal, justa y transparente |
| Limitación de la finalidad | Datos para fines específicos, explícitos y legítimos |
| Minimización de datos | Solo datos adecuados, pertinentes y limitados |
| Exactitud | Datos exactos y actualizados |
| Limitación del plazo de conservación | No conservar más tiempo del necesario |
| Integridad y confidencialidad | Tratamiento seguro mediante medidas técnicas |
| Responsabilidad proactiva | Demostrar el cumplimiento del RGPD |
Marco legal aplicable
1
Normativas clave en protección de datos
| Normativa | Ámbito | Año | Multas máximas |
|---|---|---|---|
| RGPD (UE 2016/679) | Unión Europea | 2016 | €20M o 4% facturación |
| LOPDGDD (3/2018) | España | 2018 | €20M o 4% facturación |
| CCPA/CPRA | California, USA | 2018 | $7,500 por violación intencional |
Multas notables: Meta (€1.2B, 2023), Amazon (€746M, 2021), WhatsApp (€225M, 2021).
Derechos ARCO y derechos digitales
1
Derechos de los titulares de datos
| Derecho | Siglas | Descripción |
|---|---|---|
| Acceso | ARCO | Saber qué datos se tienen y cómo se usan |
| Rectificación | ARCO | Corregir datos inexactos |
| Cancelación/Supresión | ARCO | Derecho al olvido (Art. 17 RGPD) |
| Oposición | ARCO | Detener tratamiento por motivos personales |
| Portabilidad | Nuevo RGPD | Recibir datos en formato estructurado |
Anonimización vs Seudonimización
1
Diferencias clave
| Característica | Anonimización | Seudonimización |
|---|---|---|
| Definición | Proceso irreversible | Reemplazo de identificadores |
| Reversibilidad | Imposible revertir | Posible con clave adicional |
| Tratamiento posterior | No es dato personal | Sí es dato personal |
| Cumplimiento RGPD | Fuera del alcance | Dentro del alcance |
Dato importante: La seudonimización es recomendada por el RGPD como medida de seguridad (Art. 32) y puede reducir los requisitos de cumplimiento.
Laboratorio práctico: Implementación de privacidad
Escenario del laboratorio: Una empresa debe anonimizar una base de datos de clientes para pruebas, implementar seudonimización para investigación, y cumplir con solicitudes de derechos ARCO.
1
Configuración del entorno
Configuración inicial
$ mkdir -p ~/privacidad_lab/datos_prueba
$ cd ~/privacidad_lab
2
Identificación de PII
Buscar datos personales en archivos
$ # Buscar DNI (España)
$ grep -r -E "\b[0-9]{8}[A-Z]\b" datos_prueba/
$ # Buscar emails
$ grep -r -E "[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}" datos_prueba/
$ # Buscar teléfonos
$ grep -r -E "\b[6-9][0-9]{8}\b" datos_prueba/
3
Enmascaramiento de datos
Enmascaramiento con sed
$ # Enmascarar DNI
$ sed -i 's/[0-9]\{8\}[A-Z]/XXXXXXXXX/g' datos_prueba/clientes.csv
$ # Enmascarar emails
$ sed -i 's/[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}/***@***.***/g' datos_prueba/clientes.csv
$ # Enmascarar teléfonos
$ sed -i 's/[6-9][0-9]\{8\}/XXXXXXXXX/g' datos_prueba/clientes.csv
4
Seudonimización con hash
Generar seudónimos con SHA256
$ # Generar hash de DNI
$ echo "12345678A" | sha256sum | cut -c1-16
a3b5c7d9e1f2a4b6
$ # Crear script de seudonimización
$ #!/bin/bash
$ while read line; do
hash=$(echo "$line" | cut -d',' -f1 | sha256sum | cut -c1-16)
echo "$hash,${line#*,}"
$ done < datos_prueba/clientes.csv > datos_prueba/clientes_seudonimizados.csv
5
Minimización de datos
Eliminar campos innecesarios
$ # Mantener solo campos necesarios
$ awk -F',' 'BEGIN{OFS=","}{print $1,$2,$5}' datos_prueba/clientes.csv > datos_prueba/clientes_minimizados.csv
$ # Verificar reducción de campos
$ head -1 datos_prueba/clientes.csv
id,nombre,apellido,email,telefono,dni,ciudad
$ head -1 datos_prueba/clientes_minimizados.csv
id,nombre,dni
6
Gestión de consentimiento
Registro de consentimientos
$ # Crear registro de consentimientos
$ echo "usuario, finalidad, fecha, activo" > consentimientos.csv
$ echo "USR-001, marketing, 2026-01-15, si" >> consentimientos.csv
$ echo "USR-001, analisis, 2026-01-15, no" >> consentimientos.csv
$ echo "USR-002, marketing, 2026-02-01, si" >> consentimientos.csv
Verificar consentimientos activos
$ # Filtrar consentimientos activos
$ grep "si" consentimientos.csv
USR-001, marketing, 2026-01-15, si
USR-002, marketing, 2026-02-01, si
Cheatsheet: Comandos esenciales
Resumen rápido - Privacidad de Datos
╔═══════════════════════════════════════════════════════════════════════╗
║ IDENTIFICACIÓN DE PII ║
╚═══════════════════════════════════════════════════════════════════════╝
$ grep -r -E "\b[0-9]{8}[A-Z]\b" /ruta # Buscar DNI
$ grep -r -E "[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}" /ruta # Buscar emails
$ grep -r -E "\b[6-9][0-9]{8}\b" /ruta # Buscar teléfonos
╔═══════════════════════════════════════════════════════════════════════╗
║ ENMASCARAMIENTO Y ANONIMIZACIÓN ║
╚═══════════════════════════════════════════════════════════════════════╝
$ sed -i 's/[0-9]\{8\}[A-Z]/XXXXXXXXX/g' archivo.csv
$ echo "12345678A" | sha256sum | cut -c1-16
╔═══════════════════════════════════════════════════════════════════════╗
║ MINIMIZACIÓN DE DATOS ║
╚═══════════════════════════════════════════════════════════════════════╝
$ awk -F',' 'BEGIN{OFS=","}{print $1,$2,$5}' archivo.csv > minimizado.csv
$ wc -l datos_sensibles.csv # Contar registros
╔═══════════════════════════════════════════════════════════════════════╗
║ DERECHOS ARCO ║
╚═══════════════════════════════════════════════════════════════════════╝
$ grep "USUARIO_ID" base_datos.csv > respuesta_acceso.txt # Acceso
$ sed -i 's/dato_incorrecto/dato_correcto/g' base_datos.csv # Rectificación
$ sed -i '/USUARIO_ID/d' base_datos.csv # Supresión
¡Laboratorio completado!
Has implementado un sistema completo de privacidad de datos: identificación de PII, enmascaramiento, seudonimización, anonimización, minimización de datos y gestión de consentimientos. Estas técnicas son fundamentales para cumplir con RGPD, LOPDGDD e ISO 27001.