La adopción del Escudo de Privacidad por parte de las autoridades reguladoras de EE. UU. y la UE, sucesor de Safe Harbor, que ha regido la transferencia de datos personales entre EE. UU., Canadá y la UE durante más de una década, ha supuesto un desenlace negativo, generando gran incertidumbre. El principal obstáculo para los defensores de la privacidad en la UE sigue siendo si las empresas estadounidenses pueden garantizar que, de hecho, pueden proteger los datos de los ciudadanos de la UE de las protecciones federales de recopilación de datos de EE. UU. Sin embargo, las diferencias en cómo los reguladores de la UE desean que las organizaciones estadounidenses traten los datos de sus ciudadanos también podrían traducirse en requisitos más rigurosos para cumplir con los principios del acuerdo.
El cumplimiento del Escudo de Privacidad, al igual que muchas regulaciones centradas en los flujos de datos, se basa actualmente en la autocertificación y la autoevaluación según principios de acuerdo. Pero ¿por qué seguimos confiando en la "conformidad" como forma de demostrar el cumplimiento? En la era del big data y la infraestructura distribuida, la confirmación de los flujos de datos debería realizarse mediante inteligencia de datos, y no mediante declaraciones de buenas intenciones.
Haciendo que la privacidad de los datos esté basada en los datos
La autocertificación en torno al movimiento de datos presenta un problema evidente en cuanto al cumplimiento normativo: ¿cómo saber con certeza dónde han estado o adónde van los datos si no se les realiza un seguimiento? Incluso las auditorías bienintencionadas solo pueden revelar una parte de la información cuando se basan únicamente en entrevistas y encuestas humanas falibles. El cumplimiento normativo debe ser una prueba exacta de conformidad, no una medida imprecisa del mejor esfuerzo. En el caso del Escudo de Privacidad, la autocertificación genera el problema secundario de que el acuerdo inevitablemente se enfrentará a un recurso legal ante el Tribunal de Justicia de la UE y, con toda probabilidad, será revisado en algún momento. Esto plantea la pregunta para una organización: ¿cómo certificar con seguridad el cumplimiento normativo hoy, mañana y en el futuro, incluso si la métrica puede cambiar?
El Departamento de Comercio de EE. UU. (la autoridad de certificación de las organizaciones estadounidenses) ahora tiene la facultad de supervisar y verificar activamente que las políticas de privacidad se ajusten a los principios pertinentes del Escudo de Privacidad, pero no las prácticas de procesamiento y gestión de datos vigentes que deberían ajustarse a dichas políticas. Además, como parte de la revisión del Escudo de Privacidad, el Departamento de Comercio puede iniciar revisiones y exigir a las organizaciones participantes que respondan con prontitud a las solicitudes de investigación.
Certificar que las organizaciones cumplen con la normativa de privacidad en general y con el Escudo de Privacidad en particular tendrá que evolucionar de la confianza a la verificación. Las organizaciones ya monitorean y rastrean todo tipo de datos dentro de la organización, pero a día de hoy, los datos personales no son uno de esos activos. Esto se vuelve más problemático si se considera el alcance total del Escudo de Privacidad.
Si bien proteger los datos de los ciudadanos de la UE de quedar atrapados en la red de vigilancia estadounidense sigue siendo la principal preocupación del Escudo de Privacidad, el acuerdo actual también incorpora un principio de limitación de la "finalidad": demostrar que los datos se procesan únicamente para los fines consentidos por los usuarios. El antecedente del Escudo de Privacidad no establecía restricciones sobre el uso de los datos de los ciudadanos de la UE en EE. UU. Esto ya no es así. Ahora, el acuerdo prevé limitaciones de uso, retención y otras restricciones al procesamiento de datos. Sin embargo, sin un mecanismo preciso de verificación, existen pocas pruebas de cumplimiento que puedan proporcionarse más allá de la palabra de uno. Los ciudadanos de la UE deben confiar en que las organizaciones estadounidenses afirmen su conformidad sin necesidad de presentar pruebas de datos.
Dejando a un lado las disputas políticas, lo que queda claro del Escudo de Privacidad es que las transferencias de datos a través del Atlántico (y, tras el Brexit, posiblemente a través del Canal de la Mancha) estarán sujetas a un mayor escrutinio en el futuro. Sin embargo, la base de prueba utilizada para certificar el cumplimiento sigue anclada en una época anterior a la informática, y mucho menos al análisis de datos moderno. En lo que respecta a los datos personales, la certificación del Escudo de Privacidad dista mucho de basarse en datos. Es pura confianza y nada de verificación.
Llevando el mapeo de datos a la era del GPS
Existe diversidad de opiniones sobre cómo responderán las organizaciones cuando se reabra el proceso de autocertificación el 1 de agosto. Algunos observadores creen que, ante tanta incertidumbre, muchas pospondrán la autocertificación. Otros argumentan que, dado que la autocertificación permite a las organizaciones realizar transferencias transatlánticas de datos legalmente bajo un único acuerdo marco, en lugar de implementar cláusulas contractuales con socios de datos individuales, muchas aprovecharán la oportunidad.
Sin embargo, en cualquier caso, las organizaciones que gestionan y procesan datos personales de ciudadanos de la UE tendrán que ser más sistemáticas a la hora de comprender no solo de quién son los datos (y cuántos), sino también cómo se mueven esos datos personales a través de su infraestructura y qué terceros tienen acceso. Independientemente de si la autocertificación supera el próximo desafío legal, la autocertificación basada en datos... mapeo de datos cuantitativos surgirá como un requisito clave para cumplir con los nuevos principios del Escudo de Privacidad específicamente, pero también el principio general de protección responsable de datos personales y privacidad para todos los custodios corporativos de datos de los consumidores.
Hoy vivimos en una era de análisis avanzado de datos y posicionamiento global. No hay razón para depender de la cartografía de flujo de datos de la época de Cristóbal Colón para medir cómo se mueve la información entre empresas o países.
Autor
