En el mundo de la privacidad de datos, el Reglamento General de Protección de Datos de la Unión Europea ha acaparado todos los titulares. Como una legislación histórica, la UE... GDPR Si bien cualquier empresa u organización que almacene o procese datos de ciudadanos de la UE no es la única que las organizaciones globales deben abordar ahora, los reguladores estadounidenses, como la FCC y la FTC, están intensificando sus esfuerzos para regular la identidad digital. En Canadá, Australia, Singapur y Rusia, los requisitos de privacidad se están endureciendo y consolidando. Si bien en EE. UU. agencias federales como la FTC, la FCC e incluso organismos reguladores sectoriales como la SEC, la CFPB y la FINRA se han vuelto más vigilantes en la aplicación de la privacidad, los estados también se están volviendo más proactivos en materia de privacidad y protección de datos de los consumidores. El ejemplo más reciente es la ampliación de los requisitos de notificación de infracciones de Florida en virtud de la FIPA (La Ley de Protección de la Información de Florida) que ahora exige que se notifique al Fiscal General del estado en caso de una infracción y que las organizaciones cubiertas consulten con la policía local.
A nivel mundial, unos 65 países Han aprobado nuevas leyes de privacidad el año pasado o tienen leyes pendientes, incluyendo China y Brasil. El impulso para el creciente énfasis en la privacidad y protección de datos radica en la creciente inquietud de los consumidores sobre el impacto de las empresas digitales en la privacidad de sus datos, agravada por las continuas filtraciones para extraer datos personales. Reguladores y legisladores de todo el mundo están intensificando sus esfuerzos para detallar los requisitos para la recopilación, el almacenamiento, el procesamiento y el intercambio de datos de consumidores y clientes.
El costo de la negligencia
Independientemente de la jurisdicción o el punto de partida de los reguladores, el punto en común es que las organizaciones deben demostrar responsabilidad y transparencia en el almacenamiento, procesamiento y transferencia de datos privados, y operar sobre la base de que ahora son custodios de los datos personales y privados. Además de declaraciones claras de intención para la recopilación de datos y el consentimiento de los consumidores y clientes, las organizaciones deben proporcionar una política de privacidad.
Los detalles de la legislación, ya sea en términos de derechos del consumidor Las medidas de seguridad, como el derecho al olvido, los requisitos de retención de datos o la necesidad de contar con responsables de la privacidad de datos, pueden variar considerablemente según la jurisdicción, al igual que la capacidad para aplicar la legislación o las regulaciones e imponer sanciones. Si bien la severidad de las multas y sanciones varía según el país, lo común es que las sanciones hayan aumentado y los organismos reguladores se hayan acostumbrado a aplicarlas.
En este contexto, el RGPD de la UE anuncia el cambio más significativo para la privacidad de datos en la era digital, no solo por los requisitos técnicos o la exigencia de delegados de protección de datos en determinadas circunstancias, sino por la magnitud de las sanciones por infracciones y la disposición expresa de los reguladores a imponer multas, cuando entre en vigor la normativa, de hasta el 41% del volumen de negocio anual mundial del ejercicio anterior.
Junto con requisitos más explícitos sobre su responsabilidad en diferentes jurisdicciones, las organizaciones también deben cumplir con la creciente definición de qué constituye un dato personal, ya sean datos biométricos en el caso del RGPD de la UE, direcciones MAC o identificadores de cookies en el caso de las nuevas regulaciones de privacidad propuestas por la FCC en EE. UU. En sus recientes decisiones de cumplimiento, la Comisión de Protección de Datos Personales de Singapur ha argumentado que el contexto importa: las infracciones de los requisitos de protección de datos personales cuando los datos son de naturaleza financiera sensible tienen mayor probabilidad de ser sancionadas. Por lo tanto, para las empresas que buscan cumplir con las nuevas regulaciones de privacidad, se espera cada vez más que puedan encontrar cualquier dato personal con precisión y a gran escala.
Es una cuestión de principios compartidos
Sin duda, muchas regulaciones y requisitos se asemejarán más a las disposiciones del RGPD a medida que se acerquen a su aprobación, y los principios rectores se convertirán en un punto de comparación. Sin embargo, es importante comprender que persistirán las diferencias de enfoque. Por ejemplo, el RGPD de la UE adopta una postura integral, especialmente en comparación con EE. UU., donde se aplica un enfoque mucho más sectorial liderado por los reguladores del sector. Un claro ejemplo de ello es la actual batalla entre la FCC y la FTC sobre quién define la privacidad digital.
Además, si bien Estados Unidos no cuenta actualmente con una legislación federal general de protección de la privacidad que se aplique ampliamente al sector privado y corporaciones[1] Muchos estados, como California, Massachusetts y Florida, han implementado leyes de protección de la privacidad del consumidor. La legislatura del estado de Nueva York tiene actualmente en comisión un proyecto de ley para la Ley de Protección de la Privacidad en Línea y Seguridad en Internet, que incluye una disposición para un grupo de expertos en violaciones de datos que incluiría al fiscal general del estado, funcionarios estatales, el director de información y el comisionado de Seguridad Nacional.
En Australia, los reguladores y legisladores han colaborado con las empresas para definir marcos y estándares de autorregulación que garanticen la protección responsable de la privacidad del consumidor. Como resultado, los principios rectores federales de privacidad se centran más en las implicaciones prácticas para la implementación de políticas y protecciones de privacidad. En cambio, la Ley de Protección de la Información Personal y de Documentos Electrónicos (PIPEDA) de Canadá enfatiza los principios operativos y se alinea más con el enfoque integral de la UE sobre el derecho a la privacidad de los ciudadanos.
La Ley de Privacidad se aplica a las agencias federales: establece un Código de Prácticas Justas de Información que rige la recopilación, el mantenimiento, el uso y la difusión de información de identificación personal sobre individuos que se mantiene en los sistemas de registros de las agencias federales.
En 10 Principios de privacidad de la Ley PIPEDA
2 Identificación de propósitos
4 Limitación de la recopilación
5 Limitación del uso, la divulgación y la retención
Principios de privacidad australianos
APP 1 — Gestión abierta y transparente de la información personal
APP 2 — Anonimato y seudonimato
APP 3 — Recopilación de información personal solicitada
APP 4 — Manejo de información personal no solicitada
APP 5 — Notificación de la recopilación de información personal
APP 6 — Uso o divulgación de información personal
APP 7 — Marketing directo
APP 8 — Divulgación transfronteriza de información personal
APP 9 — Adopción, uso o divulgación de identificadores relacionados con el gobierno
APP 10 — Calidad de la información personal
APP 11 — Seguridad de la información personal
APP 12 — Acceso a la información personal
APP 13 — Corrección de información personal
Aun así, aunque los principios pueden divergir, la influencia del RGPD de la UE es que las tendencias regulatorias globales se están uniendo en torno a un conjunto de requisitos y consideraciones comunes:
● Elección y consentimiento
● Seguridad para la Protección de Datos
● Acceso a datos
● Requisitos de notificación
● Retención de datos
● Derecho al olvido
● Divulgación a terceros
● Delegados de Protección de Datos
● Transferencias transfronterizas
Sin embargo, la forma en que se detallan los requisitos muestra una amplia divergencia. Por ejemplo, incluso en el contexto del RGPD, la exigencia de un delegado de protección de datos solo es obligatoria cuando la organización es una autoridad pública, realiza una monitorización sistemática a gran escala o realiza un tratamiento a gran escala de datos personales sensibles. Según la Ley de Protección de Datos Personales (PDPA) de Singapur, la organización es quien debe decidir si debe nombrar a un delegado de protección de datos a tiempo completo o si la función debe quedar subsumida bajo otra responsabilidad.
De manera similar, la PIPEDA estipula que los datos personales deben conservarse “mientras sean necesarios para cumplir los fines previstos” en lugar de un período de tiempo específico.
¿Cómo gestiona entonces una empresa multinacional las diferentes definiciones de PII y los distintos requisitos en torno al acceso de los interesados, las ventanas de notificación y la trazabilidad del procesamiento?
En sintonía: cómo la ciencia de datos se aplica a la privacidad de los datos
Ya no se trata de si la privacidad y la protección de datos deben estar en la agenda de TI y negocios digitales. La pregunta, en cambio, es cómo conciliar mejor las oportunidades de negocio con la diversidad de requisitos legislativos y regulatorios.
El primer paso es el obvio: asignar las operaciones comerciales a las jurisdicciones de privacidad de datos. Es posible sortear los términos específicos requeridos para cumplir con requisitos más rigurosos, como el RGPD de la UE o la PCDA de Singapur. Además, es importante comprender los principios subyacentes que enmarcan la legislación: ya sean integrales, sectoriales o definidos en colaboración con la industria.
Sin embargo, la base de la protección de la privacidad de los datos personales reside en la aplicación coherente de las políticas de privacidad y, aún más importante, en una información precisa sobre los datos que se protegen. Todos los requisitos regulatorios comparten la necesidad de saber qué datos se almacenan, a quién pertenecen, dónde se encuentran, quién accede a ellos, qué consentimiento se ha aprobado en relación con ellos y dónde se utilizan. Sin este conocimiento fundamental, es imposible determinar con precisión si una organización cumple con una regulación específica. También es imposible gestionar esos datos. Sin información, no hay control. Sin control, aumenta el riesgo de sanciones e incluso de infracciones.
por @stavvmc y @dimitrisirota
Autor
