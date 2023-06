Cómo proteger los datos de los clientes de la industria turística

Implementar políticas para mantener la seguridad de la información se vuelve fundamental. Cuáles son las recomendaciones de los especialistas.

Las agencias de viajes, operadores, hoteles y medios de transporte almacenan infinidad de datos sensibles de sus clientes. A la par de la actualización de las medidas de control sobre el manejo de este tipo de información, se vuelve relevante incorporar herramientas que aumenten la seguridad del proceso.

En este marco, Mensajero dialogó con María Caraballo, Data Strategy Manager en NTT DATA; y con Daniel Monastersky, abogado especializado en delitos informáticos, robo de identidad, reputación online y datos personales. Con ambos profesionales se buscó trazar una guía de reconomendaciones para que las empresas del sector aborden la problemática.

“No es lo mismo la seguridad de datos que la ciberseguridad”, comenzó aclarando Caraballo. Al respecto, explicó que la segunda se refiere a los ataques externos y la primera está vinculado con la información específica y con los criterios de resguardo que deben tener las empresas y las personas que trabajan en ellas.

Como para graficar este escenario, hay que tener en cuenta que si bien son aspectos distintos, están relacionadas porque el 95 % de los ataques externos se producen por un error humano.

LAS RAMAS QUE CONFORMAN LA SEGURIDAD DE DATOS

Lo técnico, resguardos técnicos, resguardos de migraciones, cómo se comparte la información, etc.

Lo legal, que tiene que ver con el punto de la jurisdicción, en la que cada operador turístico realice su actividad, los criterios jurídicos, normativos.

Lo cultural, que tiene que hablar con las empresas, si ya tienen un conocimiento de empresas data-driven, o sea, que se manejan a través de los datos o no. Y que eso es clave también para tomar ese conocimiento. Además va a variar según el tipo de empresa que sea, ¿no? Porque, por ejemplo, pueden ser empresas muy pequeñas, las cuales ciertas empresas en realidad solo pueden gestionar, no sé, Excel, o pueden ser multinacionales que, por ejemplo, tienen ya un resguardo, criterios o herramientas mucho más complejas.

Los datos lo que van a hacer es generar ventajas competitivas. El porcentaje de venta asociado es mucho mayor si vos tenés un buen perfilado de datos, por ejemplo, cuando vos tenés muchos datos, y eso se usa también en banca, sirve para publicidad direccionada.

Partiendo del tipo de almacenamiento que tenga, o sea, dónde están los datos (Excel o nube) si tiene arquitecturas multinubes, que cuanto más transaccionalidad de datos tenga, va a tener mayor arquitectura y ahí tendría que tener un resguardo particular.

Lo primero que tiene que hacer una empresa es ver si necesita el dato particular o el dato personal. Entonces, ¿cuál puede ser una buena práctica? Dividir el acceso a los datos o entender quiénes deben ver el dato particular y quiénes no. Entonces, como premio es clasificar los datos. Una vez que clasifico los datos, sé qué datos son factibles de dar datos personales o no.

Segundo paso, determinar quiénes son las personas que pueden ver esos datos personales y quiénes no. Tercer paso, para las personas que no pueden ver los datos personales, o generar una restricción de acceso o acceder a los datos de manera tipo hash o anonimizado, etc. Siempre que se tratan datos o hay datos a la nube o hay una transaccionalidad, que haya una seguridad en los datos.

Después, siempre es importante contratar servicios a la nube con un esquema de seguridad, si es que trabajas online, con un esquema de seguridad dentro de la base de datos. Que eso justamente lo que nos permite es poder generar un proceso que sea unificado en todas las plataformas.

Los reguardos específicos que son todos técnicos tienen que ir asociados con los criterios específicos que requieren las normativas en particular. Por ejemplo, esto te quería mencionar, nosotros en Argentina tenemos la ley 25.326 que es la ley de protección de datos personales. Nosotros tenemos una autoridad de aplicación de esta ley, que es la Agencia de Acceso a la Información Pública, que emitió una resolución en la 47 del 2018, la cual ya te fija, bueno, ya no son obligatorios, pero te fija cuáles son los criterios mínimos que debe tener todo tratamiento de datos personales en medio, informatizados y no informatizados.

En nuestra normativa se divide en recolección de datos, control de acceso, control de cambio, respaldo y recuperación y gestión de vulnerabilidades. Y después un apartado también de incidentes de seguridad y destrucción de la información y entornos de desarrollo. Entonces, cada uno de esos apartados tiene criterios particulares, los cuales en las bases de datos, en los lugares donde se almacenen datos personales, deben cumplir.

Cuando se hace una recolección de datos, ver qué tipo de datos, quiénes tienen acceso, cuáles son los datos confidenciales o no y las responsabilidades de las personas que van a tratar esos datos. En¿n la ley de protección de datos que mencionaba, tenemos un apartado que es muy fuerte, que es los derechos que tenemos los titulares. Todas las organizaciones deben tener sistema de que una vez usados los datos se borran,

En lo legal es importante hacer hincapié sobre todo en turismo, que la Unión Europea en una norma que plantea la extraterritorialidad. En decir, no importa en el país en el que esté, si la persona ciudadana es de la Unión Europea, va a regir las normas de la Unión Europea. Las bases de datos y los almacenamientos y los resguardos tienen que estar alineados por lo que requiere el RGDP, que es el Programa General de Datos Personales de la Unión Europea; y también en la Argentina, es lo que pasa también, que tampoco nadie, eso es una realidad, nadie presta atención. Al usar Google o Mail esa herramienta en la nube o esos datos que vos tenés, la realidad es que están alojados en un país. Cuando se crean las, o por ejemplo, cuando vos generas instancias de almacenamiento de algo, pero hoy no existe en Argentina. Ninguna de estas webs no tiene en Argentina una apertura para que vos puedas decir que eres de la región de Argentina. Entonces lo creaste en otro país. En Argentina la disposición 60 establece cuáles son los países tiene el mismo resguardo normativo que Argentina y es a donde podrían generar esa transferencia internacional.

Con tu consentimiento podrías decir a cualquier empresa que puede tener tus datos. Ojo con eso porque cuando vos haces ese contrato entre empresas de turismo y transferís información, lo que deberías verificar es que la empresa con la cual le vas a ofrecer datos personales, tenga los mismos criterios de seguridad que te piden en tu país. ¿Por qué? Porque si no también esta empresa de turismo que se dio el dato va a ser responsable de cualquier brecha de seguridad que tenga la otra empresa.

Perfecto entonces vos lo que deberías hacer es como usuaria decir, mira no sé, aerolínea, yo no quiero que tenga aerolínea certificada, no quiero que tengas más ningún dato mío. Te pido que baste todos los datos y después te pido un certificado que hayas cumplido esto. Si la de la ORIÑA no te lo presenta, no te presenta el divulgado, no te muestra nada, ahí podrías ir hacia la autoridad de aplicación, y después de la autoridad de aplicación, hacer la denuncia correspondiente. Y esa es una realidad, que a partir de 2018, ¿viste que yo te contaba que son las primeras RGPD en el mundo? Hay otra conciertización y ya se aplican montones, hay montones de multas aplicadas a hoteles, empresas aeronáuticas, por justamente empresas de seguridad. Entonces, por ejemplo, por darte un ejemplo, British Airways, ejemplo, British Airways, una multa de 183 millones de libras, porque justamente tuvo una brecha de seguridad. Marriott international, los hoteles, lo mismo, 99 millones de liras.

Como que la realidad es que hay dentro de las autoridades de aplicación, hay como una proactividad, o sea ya no es hacer la denuncia y no nos fijamos. No. Ahora se hace la denuncia y se actúa.

Hay un montón de pasos de seguridad que también hacen a la cultura de quien está trabajando con información y con datos, que tiene que ver con, bueno, cómo se resguarda esa información dentro de la empresa.

al aspecto técnico que no lo mencioné, que son las auditorías que se hacen respecto de las bases de datos. Esto es, vos podés generar controles y auditorías predeterminados en los cuales vas abriendo, pero en las bases de datos, ya les da un comportamiento anómalo.

Hay un informe de IBM que dice que el costo de las empresas por una vulnerabilidad era de 4 millones de dólares. Y que si vos aplicabas inteligencia artificial para la verificación de las brechas, disminuía en un millón de dólares la posibilidad de tener esta degeneración de la vulnerabilidad.

¿Por qué? Porque la realidad es que vos tendrías que tener controles automatizados para vivir sin tener alguna anomalía en los bases de datos. Y vos me decís, ¿qué puede ser una anomalía? Y bueno, de repente alguien que trabaja en don Pareja se conecta un domingo a las 3 de la tarde, y bueno, eso salvo que la persona está haciendo trabajos o servicios de IT con algún objetivo en particular y que yo me conecte a las 3 de la tarde a una base de datos, un domingo podría llegar a ser un comportamiento anómalo. E

SI BIEN hay un montón de denuncias respecto de consumidor, no hay tantas a nivel de autoridad de aplicación de datos personales. Igual, para que Te lo cuento también, las multas son muy baratas, por lo cual no estamos a la altura, por ejemplo, de la Unión Europea. está en el Congreso hay un proyecto de ley para modificar la ley de protección de datos personales, que justamente una de las cosas que busca es la proactividad respecto de la autoridad de aplicación y la posibilidad de aumentar estas multas que tenemos hoy.

si vos sos una empresa, que querés ver en qué situación estás, nosotros creemos que hay tres acciones importantes. Una es buscar alguna empresa que se dedique a seguridad de datos y que te haga una evaluación de la situación actual en términos de seguridad. Ahí se identifica enq ué está bien la empresa y a qué tiene que ir, otro punto es ver cuáles son la smejores herramientas asociadas a lo que hace esa empresa; y por úlitmo la concietización