La última Semana de la Privacidad de Datos presentó las perspectivas de los expertos y destacó los problemas de privacidad que probablemente preocupan más a los reguladores y a los equipos de privacidad en 2023.
Entre los temas más urgentes en 2023, los siguientes causarán revuelo:
1 – Datos sensibles
Yendo más estricto, más amplio
El uso de datos biométricos (como huellas dactilares y reconocimiento facial), Datos de salud y la ubicación geográfica con fines de identificación y seguridad se está volviendo más frecuente en varias industrias, incluidas finanzas, sanidad, y la aplicación de la ley.
Estas tecnologías tienen el potencial de mejorar la seguridad y la comodidad, pero también plantean importantes preocupaciones sobre la privacidad. En respuesta a estas preocupaciones, los gobiernos de todo el mundo están implementando regulaciones y leyes más estrictas para regular el uso de datos biométricos, de salud y de geolocalización.
Estamos observando medidas más estrictas, regulaciones más precisas y un mayor número de proyectos de ley. Por lo tanto, en 2023, podemos esperar ver mayores esfuerzos para controlar la recopilación, el almacenamiento y el uso de estos datos, y para proteger el derecho a la privacidad de las personas.
2 – Datos de los niños
Ponte al día con la COPPA
Ley de Protección de la Privacidad Infantil en Línea Es una ley federal en los Estados Unidos que regula la recopilación de información personal de niños menores de 13 años, ¡y está tomando impulso!
La ejecución de COPPA ha ido aumentando en los últimos años, con fuertes multas impuestas a las empresas que violan la ley, como la Multa de $170 millones emitido a Google por la FTC.
Además de la COPPA, California también ha introducido la Código de diseño apropiado para la edad, que entrará en vigor en 2024. Esta ley exige a las empresas implementar medidas específicas de protección de datos cuando saben que es probable que menores de 18 años accedan a sus servicios.
Esto incluye proporcionar políticas de privacidad fáciles de entender para los niños, obtener el consentimiento parental verificable antes de recopilar información personal y ofrecer a los padres la posibilidad de revisar y eliminar la información personal de sus hijos. Como resultado, es previsible que en 2023 se presenten más proyectos de ley destinados a proteger la privacidad infantil en línea.
Estos proyectos de ley podrían incluir elementos desencadenantes como "probable acceso a datos por parte de menores de 18 años" para garantizar que las empresas implementen medidas adecuadas de protección de datos cuando los menores utilicen sus servicios. Las leyes también tendrán como objetivo garantizar que las empresas que recopilan datos personales de menores no los utilicen indebidamente.
3 – Datos de los empleados
Los derechos de los empleados sobre los datos están cobrando impulso en la legislación estatal
En California, a los empleados se les otorgan derechos específicos como consumidores, y otros estados están siguiendo el ejemplo al implementar leyes que protegen los datos de los empleados en diversas áreas, como el uso de IA en el lugar de trabajo y el acceso a cuentas personales.
Sin embargo, es fundamental ser consciente de los posibles usos no deseados de los datos de los empleados y tomar las medidas necesarias para proteger la información confidencial y evitar un uso ilegal de la misma, como la venta de datos de los empleados.
Las empresas deben asegurarse de cumplir estas leyes e implementar medidas de seguridad sólidas para proteger los datos de los empleados.
Informar activamente a los empleados
Además, se debe informar a los empleados sobre sus derechos y cómo la empresa recopila, utiliza y almacena sus datos.
Esto incluye Transparencia sobre qué datos se recopilan y por qué, así como el derecho de los empleados a acceder, corregir y eliminar sus datos personales.
4 – Minimización de datos
Minimizar datos, maximizar privacidad
La minimización de datos es una preocupación creciente entre los reguladores de Estados Unidos y Europa.
La FTC ha tomado medidas contra empresas como CafePress y Drizly por no seguir prácticas de minimización de datos, que podrían haber reducido significativamente el impacto de la infracciones que sufrieron (1) (2).
¿Recoger ahora, notificar y elegir después?
Piénsalo otra vez.
Incluso 34 fiscales generales estatales Han acordado que el enfoque de recopilar información ahora y proporcionar notificaciones y opciones más adelante ya no es aceptable. Este ha sido el caso de JUUL Labs, el fabricante de la popular marca de cigarrillos electrónicos, acusado de violar varias leyes de privacidad de datos, específicamente, "la recopilación de información personal de sus clientes, incluyendo sus nombres, direcciones y fechas de nacimiento, sin obtener el consentimiento correspondiente".
Además, se ha acusado a JUUL de utilizar estos datos para dirigir campañas de marketing a los jóvenes, a pesar de que los productos de la empresa sólo están destinados a ser utilizados por adultos mayores de 21 años.
5 – Revelación y patrones oscuros
¿Está en riesgo su cumplimiento de la privacidad en línea debido a patrones oscuros?
Los reguladores de ambos lados del Atlántico se están centrando en mejorar la transparencia de las divulgaciones en línea y en proteger a los consumidores de los “patrones oscuros”.
Espera un momento, ¿qué son exactamente los “patrones oscuros”?
Los patrones oscuros son interfaces de usuario que están diseñadas para engañar o inducir a error a los usuarios para que tomen determinadas decisiones o compartan información personal sin su pleno entendimiento o consentimiento.
Algunos ejemplos de patrones oscuros incluyen el uso de “puede” en lugar de “hará” para hacer que una solicitud suene menos definitiva, el uso de listas con viñetas para ocultar información importante y la creación de experiencias de usuario engañosas que dificultan que los usuarios comprendan las implicaciones de sus elecciones.
Aprenda a detectar y evitar estos obstáculos en su experiencia en línea
Para evitar patrones oscuros en la privacidad, es importante estar al tanto de las prácticas comunes que se utilizan para manipular a las personas para que compartan su información personal o acepten términos que tal vez no comprendan completamente.
Algunos ejemplos de estos métodos incluyen:
- Dificultar la búsqueda o comprensión de la opción de exclusión voluntaria
- Preseleccionar opciones que favorezcan los intereses de la empresa sobre los del usuario
- Utilizar un lenguaje difícil de entender o engañoso
- Disfrazar el verdadero propósito de una solicitud de información personal
Los reguladores están trabajando para garantizar que estas prácticas no se utilicen para engañar a los consumidores y brindarles la información que necesitan para tomar decisiones informadas sobre su información personal.
6 – Consent
El consentimiento al estilo GDPR llegó para quedarse
Las leyes de privacidad estatales actuales, así como las nuevas propuestas, están adoptando un consentimiento al estilo GDPR (que requiere un consentimiento específico, libremente otorgado, informado e inequívoco).
Esto significa que las empresas ya no pueden condicionar el uso de sus servicios a la recopilación y utilización de datos que no son necesarios para la prestación del servicio.
En lugar de ello, ahora las empresas tienen que obtener el consentimiento explícito de los individuos para el uso de sus datos personales.
Esto representa un cambio significativo en la forma en que las empresas deben abordar la privacidad de los datos y requerirá un cambio en sus prácticas comerciales.
7 – Más allá de la «divulgación»
Alinearse con las 'expectativas del consumidor'
La especificación de las expectativas y la finalidad del consumidor es un aspecto esencial de la normativa de privacidad y está estrechamente ligada al concepto de divulgación. Sin embargo, va más allá de simplemente informar a los consumidores sobre cómo se utilizará su información personal.
También implica garantizar que los usos secundarios de la información personal sean compatibles con las expectativas de los consumidores. Esto significa que las empresas deben alinear el uso de la información personal con lo que los consumidores esperarían razonablemente.
No hagas mal uso de un recurso de uso secundario
La Comisión de Protección de Datos de Irlanda ha tomado medidas en el Casos meta, donde se encontró que las empresas estaban utilizando información personal para fines que no estaban alineados con las expectativas de los consumidores.
De manera similar, la Ley de Privacidad de California tiene una lista detallada de regulaciones que rigen la compatibilidad de los usos secundarios de la información personal.
Es importante tener en cuenta que los consumidores tienen derecho a saber cómo se utiliza su información personal y a esperar que se utilice de una manera compatible con sus expectativas.
Las empresas deben ser transparentes en sus políticas de recopilación y uso de datos y no deben utilizar la información personal para ningún propósito que sea inesperado o no deseado.
8 – IA
La aplicación de la IA está en aumento
Aunque todavía se encuentra en su etapa de propuesta, la UE Ley de IA Se espera que establezca el estándar para la regulación de la IA en la UE y podría tener un impacto significativo en cómo se desarrolla y utiliza la IA en todo el continente.
Francia, Países Bajos y Noruega
En Francia y los Países Bajos se están formando grupos de trabajo:
- En Francia, el grupo de trabajo se llama “Consejo Nacional de IA” y será responsable de crear un marco legal para el desarrollo y el uso de la IA.
- En los Países Bajos, la “Coalición IA” se centrará en garantizar que la IA se desarrolle y utilice de forma responsable y ética.
- Se espera que ambos grupos de trabajo trabajen en estrecha colaboración con la industria, la academia y el gobierno para desarrollar regulaciones y pautas para el uso seguro y responsable de la IA.
Noruega publicó una ley sobre transparencia en la IA. La ley propuesta adopta un enfoque basado en el riesgo para el uso de la IA, aplicando diferentes niveles de requisitos según el riesgo asociado al uso específico del sistema de IA en cuestión.
Nueva York y Nueva Jersey
Ambos estados introdujeron facturas Para regular la IA en el proceso de contratación. Estos proyectos de ley buscan abordar las preocupaciones sobre la posibilidad de sesgo y discriminación en el uso de herramientas de contratación basadas en IA, así como garantizar la transparencia y la rendición de cuentas en el uso de estas tecnologías, protegiendo así a los solicitantes de empleo de la discriminación y los sesgos.
9 – Evaluaciones de riesgos, DPIA
Empieza ahora, itera más tarde
Es importante comenzar a realizar una Evaluación de Impacto de la Protección de Datos (EIPD) lo antes posible, aunque todavía no existan regulaciones al respecto.
Si bien actualmente la CPRA no cuenta con regulaciones para las DPIA, Colorado tiene regulaciones preliminares.
Es mejor comenzar a trabajar en una evaluación de impacto de protección de datos ahora y realizar ajustes a medida que evolucionen las regulaciones.
10 – Transfronterizos
Aún no estoy fuera de peligro
Es importante revisar la Principios del marco de privacidad de datos UE-EE. UU. para garantizar el cumplimiento y comprender los pasos necesarios para la certificación o recertificación, independientemente de la Caso Schrems.
Aquí en BigIDSeguiremos de cerca estos desafíos actuales a medida que continuamos ayudando a las organizaciones a adaptarse al panorama de privacidad de datos en constante cambio.
Mientras tanto – ver BigID en accióny Programe una demostración para hablar con nuestros expertos en privacidad. que le ayudará a cumplir con los requisitos de privacidad de datos, proteger información altamente confidencial y continuar generando confianza en el consumidor.
Autores colaboradores:
Shiko Genossar, gerente sénior de productos
Heather Federman, directora de privacidad
Tomer Elias, Director de Gestión de Productos
Autor
