Privacidad, seguridad y sociedad

Ignacio Trejos Zelaya

TEC y Cenfotec

La palabra castellana ‘seguridad’ tiene varias connotaciones en relación con las tecnologías digitales. En
inglés, se usan dos palabras distintas: ‘security’ y ‘safety’. Ambas consideran los riesgos y abarcan la
protección contra peligros y pérdidas.

Seguridad, con el sentido de ‘security’, trata del peligro originado por la intención maliciosa de provocar
daño sobre lo que se protege. Cuando es ‘safety’, la protección se refiere a los daños que son consecuencia
de equivocaciones, errores, accidentes, fallas, u otros sucesos que no son motivados por una intención de
causar perjuicios a seres vivientes, o a las propiedades de personas o empresas.

El Diccionario de la lengua española, define ‘privacidad’ como el “ámbito de la vida privada que se tiene
derecho a proteger de cualquier intromisión”, mientras que en Wikipedia encontramos que la “privacidad
puede ser definida como el ámbito de la vida personal de un individuo que se desarrolla en un espacio
reservado y debe mantenerse confidencial”. Algunos usan la palabra ‘intimidad’ como sinónimo de
‘privacidad’.

La Internet, las comunicaciones móviles y la creciente digitalización de los negocios afectan la vida del
ciudadano común. No solamente continúa creciendo el volumen de la información, sino que se profundiza
cómo dependen de ella personas y organizaciones.

En seguridad informática es necesario asegurar el acceso a recursos de información cuya integridad y

confidencialidad deben ser protegidas. Es necesario identificar y autenticar a los agentes interesados en el
acceso a los datos, para determinar si procede darles autorización de acceder según los ‘derechos’ que
tengan sobre los datos protegidos y las políticas aplicables de seguridad de la información.

En los ambientes digitales, el interés personal o grupal por proteger la ‘privacidad’ implica tener control
sobre la propia información o las acciones personales dentro de los sistemas informáticos. ‘Privacidad’ no
es sinónimo de ‘anonimato’ (que intenta hacer imposible la identificación del autor de las acciones sobre
datos digitales).

Personas, familias, organizaciones y gobiernos se encuentran en riesgo de que entidades malintencionadas

corrompan o destruyan datos, roben o espíen información, impidan el acceso o dañen los sistemas
informáticos. También es posible que, sin mala intención, personas obtengan acceso no autorizado a fuentes
de información o que accidentalmente las corrompan, las arruinen o las hagan inaccesibles.

La seguridad informática, como especialidad Informática, busca proteger la tecnología informática y sus
contenidos digitales. La seguridad informática se ocupa de diseñar normas, procedimientos, métodos,
técnicas y tecnologías para conseguir sistemas de información seguros y confiables.

El usuario final y el software (las aplicaciones) son generalmente los eslabones más débiles en materia de
seguridad de la información. Proliferan teléfonos ‘inteligentes’, tabletas y computadoras personales,
conectadas a Internet vía redes celulares, alambradas o inalámbricas. Algunos usan brazaletes que miden
sus signos vitales y los conectan a sus teléfonos móviles, que pueden compartir esos datos de maneras no
necesariamente conocidas o autorizadas. Otros parece que no tienen nada que ocultar y comparten
alegremente información personal en la Web, ponen en riesgo su identidad personal, cuentan abiertamente
historias que pueden ser vergonzosas y lesivas en su futura vida familiar, profesional o empresarial.

1
En contraste, otras personas prácticamente sellan cualquier acceso a sus dispositivos digitales: consideran
que sus datos individuales son críticos, protegen sus transacciones financieras y personales, cuidan sus datos
de tarjetas de crédito, salud y cuentas bancarias, procuran mantener su información médica, tributaria y
registral protegida ante potenciales abusos. Los comportamientos dependen de la consciencia y de la
tolerancia al riesgo que tengan los diversos individuos.

En varios países democráticos hay una tendencia a considerar las libertades civiles en el mundo digital,
entre ellas la privacidad de los datos personales, y defender los derechos de los individuos a conocer y
administrar sus datos. Hoy día no solo es necesario crear software para que sea seguro por diseño sino
también considerar la protección de la privacidad como algo intencional en los sistemas que resguardan
datos personales y empresariales: privacidad por diseño.

Sin embargo, la seguridad y la privacidad pueden parecer antagónicas. Algunos gobiernos y corporaciones
invaden la privacidad de individuos y grupos, con la justificación de proteger intereses de seguridad
nacional o empresarial. En algunos países se ha llegado a invadir la privacidad en aras de la seguridad, por
ejemplo: acciones que pretenden prevenir la explotación y el abuso, como el monitoreo del uso de Internet
(Web), contra la pornografía infantil, las apuestas ilegales, el lavado de dinero, las redes criminales que
atentan contra la seguridad ciudadana, o los gobiernos extranjeros o grupos hostiles locales o
multinacionales (que pretenden atacar o socavar la seguridad nacional). En otros casos se acumulan datos
sobre transacciones económicas con el fin de perfilar actores, a efectos de combatir la evasión fiscal y el
fraude: invadir la privacidad individual para proteger al público del fraude tributario.

En general, la seguridad tiende a ser valorada como superior en los niveles gubernamentales y corporativos,
mientras que la privacidad de los datos domina el interés de individuos y grupos. Los gobiernos procuran
proteger intereses nacionales, la seguridad de los ciudadanos y preservar el orden, mientras que las
corporaciones intentan defender secretos comerciales valiosos e información competitiva propia, al tiempo
que evitan a sus clientes la exposición a pérdida, alteración, espionaje o explotación de los datos que
resguardan de ellos.

Algunos gobiernos democráticos tienden a considerar como mandato el resguardo de las libertades civiles
privadas. Países o regiones, como Canadá y la Unión Europea, así como corporaciones multinacionales
que toman en serio la vigilancia de los datos de individuos, exigen el cumplimiento de normas rigurosas de
protección de la privacidad y de la integridad de los datos personales.

Los gobiernos del Reino Unido y de Canadá han tomado el liderazgo en la introducción de la privacidad
por diseño desde que se comienza la conceptualización de nuevos sistemas de información, pero también
en la modificación (mantenimiento) e integración de sistemas existentes.

Al igual que la seguridad de la información, la privacidad de los datos no debe ser una consideración de
último momento al desarrollar sistemas informáticos. Los siete principios fundamentales que propone la
provincia de Ontario (Canadá) son:
1. Ser proactivo, no reactivo. Anticipar y prevenir, más que remediar.
2. Privacidad por omisión: proteger automáticamente al máximo los datos personales.
3. Incorporar la privacidad dentro del diseño. La privacidad se diseña intencionalmente dentro del
sistema desde que se comienza a conceptualizarlo.
4. Suma positiva, con funcionalidad completa. Se trata de balancear privacidad y seguridad, no de
favorecer una sobre la otra.
5. Seguridad de extremo-a-extremo. La seguridad protege la privacidad a lo largo de todo el ciclo de
vida de los datos.
6. Visibilidad y transparencia. Se puede verificar el cumplimiento de los objetivos y compromisos
concernientes a la privacidad de los datos.

2
 7. Respeto a la privacidad de los usuarios. El enfoque hacia un diseño consciente y centrado en los
usuarios, atendiendo a sus necesidades individuales, es mantenido consistentemente por
arquitectos, desarrolladores y operadores.

Otros gobiernos y países han venido desarrollando prescripciones, estándares y guías, como las elaboradas
por el National Institute of Standards and Technology (NIST, de Estados Unidos), ‘Guía para proteger la
confidencialidad de la información personalmente indentificable’. Otras organizaciones como la
Association for Computing Machinery (ACM) y la British Computer Society (BCS) han emitido directrices
éticas y técnicas a sus miembros en lo concerniente a la creación de sistemas informáticos que respeten y
protejan la privacidad de los datos de los individuos (usuarios, clientes, funcionarios, etc.).

El sector costarricense de Tecnologías de Información y Comunicación debe poner atención al desarrollo

de software y servicios basados en TIC que no solamente sean seguros, sino que estén concebidos para
asegurar la privacidad de los datos de las personas – desde el diseño y la construcción hasta su operación,
mantenimiento y retiro. Por su novedad, debemos desarrollar las capacidades tecnológicas así como la
conciencia ética mediante la educación y la discusión, en academia, gobierno e industria. Algunas
organizaciones ya están dando sus aportes, entre ellas: el Club de Investigación Tecnológica, la Cooperativa
Sulá Batsú, CAMTIC, Modus, el Colegio de Profesionales en Informática y Computación, el Colegio de
Abogados, el TEC y la Universidad Cenfotec.