Cómo GDPR ha inspirado una carrera armamentística mundial sobre la normativa de privacidad
Las empresas con presencia mundial se enfrentan al reto de cumplir con un conjunto cada vez mayor de normativas regionales de protección de datos.
Con muchas jurisdicciones que adoptan normas de privacidad al estilo de la UE en línea con el GDPR de la Unión Europea, como las evaluaciones de impacto de protección de datos obligatorias, los oficiales de privacidad de datos y la notificación a los individuos y a los reguladores en caso de una violación de la seguridad de los datos, el cumplimiento es cada vez más complejo y una carga creciente para las organizaciones.
Al mismo tiempo, están aumentando las leyes de soberanía de datos que exigen a las empresas almacenar los datos localmente. También se está prestando atención en algunos países a la seguridad de los datos. La forma en que se han desarrollado las leyes de privacidad, la razón por la que existen en primer lugar y la forma en que se regulan son diferentes en casi todos los países. Todos estos factores se suman a las mayores exigencias normativas.
Las múltiples tendencias que afectan a las leyes de protección de datos y privacidad
Cuando se compara el enfoque de varios países sobre la privacidad, la pregunta es la siguiente: ¿Ven la privacidad como un derecho humano fundamental, como hacen en Europa?", dice Miriam Wugmeister, socia de Morrison Foerster y copresidenta de su grupo de privacidad y seguridad de datos a nivel mundial.
GDPR ha inspirado a muchos países a reforzar sus normas de protección de datos y privacidad. Su mayor cambio con respecto a las normas anteriores —y la razón por la que todo el mundo prestó atención— fue porque cambió radicalmente las sanciones, dice Wugmeister.
Para muchas organizaciones, todos estos desarrollos pueden significar la adhesión a diferentes normas a través de su huella global, según explica. "Algunas utilizan el RGPD, sobre todo las que tienen sede en Europa. Algunas organizaciones sólo utilizan los principios básicos y luego miran los detalles para las diferentes regiones".
Australia está revisando actualmente sus leyes de privacidad y una de las cuestiones es si adoptará las regulaciones que cumplen GDPR. Sus principios se están abriendo paso en las leyes de todo el mundo. Canadá está considerando ahora leyes de privacidad similares, al igual que su provincia de Quebec, además de las regulaciones existentes en torno a la soberanía de los datos. "Japón ha mejorado cada vez más sus leyes de privacidad. Corea del Sur siempre ha sido muy fuerte y ahora lo es mucho más. Tailandia ha introducido una ley basada en el GDPR. Hace poco, Sri Lanka promulgó sus leyes influenciadas por el GDPR. Pakistán y la India tienen proyectos de ley con una fuerte influencia del RGPD que todavía se están abriendo camino en el proceso legislativo", dice Graham Greenleaf, profesor de derecho y sistemas de información en la Universidad de Nueva Gales del Sur en Sídney y codirector fundador del Australasian Legal Information Institute (AustLII).
En cambio, el gobierno federal de Estados Unidos ha ignorado en gran medida la tendencia inspirada en el GDPR, afirma Greenleaf. "Aunque hay proyectos de ley federales inspirados en el GDPR, no hay indicios de que se conviertan en ley", afirma. En su lugar, varios estados han tomado la iniciativa de introducir principios similares, como California, Maine y Nevada, y Utah está considerando ahora su propia legislación.
Esfuerzos de protección de datos y privacidad más allá de GDPR
Los diversos cambios en la normativa sobre protección de datos y privacidad en todo el mundo van más allá de los inspirados en GDPR.
Por ejemplo, países asiáticos como Japón, Singapur y Corea del Sur son líderes en materia de seguridad de datos. Wugmeister espera que se preste más atención a la seguridad de los datos y a los requisitos específicos en las normativas, orientaciones y estatutos debido al nivel de incidentes de ciberseguridad y al volumen de actividades delictivas y patrocinadas por el Estado en relación con el ransomware y otros tipos de ciberataques.
Wugmeister afirma que Estados Unidos está más adelantado que cualquier otro país en lo que respecta a la notificación de infracciones. "Hay dos leyes que han entrado en vigor y que tienen que ver con las organizaciones de infraestructuras críticas y las empresas públicas que tienen que notificar en un período de tiempo muy corto. Así que Estados Unidos es el líder en términos de transparencia en torno a las violaciones de datos", explica a CSO Online.
Aunque no se trata estrictamente de una cuestión de privacidad, señala que el almacenamiento barato supone una amenaza real para la protección de datos de las organizaciones. Esto ha llevado a las organizaciones a ser menos rigurosas a la hora de deshacerse de las cosas. "Guardan todo y, cuando se produce una filtración, hay información de personas con las que no han interactuado durante 10 años, o tienen información sensible que deberían haber destruido", afirma.
Escollos de la normativa sobre protección de datos y privacidad
En lo que respecta al enfoque de las políticas de privacidad, existe una divergencia entre la dirección que toman las normativas y lo que realmente quieren los consumidores, afirma Wugmeister. En su opinión, las leyes se dirigen hacia una información más detallada a los individuos y se centran más en la elección individual. "No creo que a los consumidores les interese la mayor parte de lo que contiene una política de privacidad. En realidad, no quieren elegir. Quieren que su información no sea mal utilizada. Quieren que su información esté protegida y no quieren ser sorprendidos", afirma.
Pero la forma de aplicar la normativa puede abrumar a los consumidores, afirma Wugmeister. "Se supone que más organizaciones tienen que enumerar cada uno de los proveedores de servicios con los que comparten información. Es algo excesivamente burocrático para las empresas y completamente inútil para los consumidores. Lo estamos viendo en todo el mundo; no es algo exclusivo de ninguna región".
Otro gran reto es la divergencia entre las leyes de privacidad. "Todas las leyes de privacidad se basan en el mismo conjunto de principios fundamentales: notificación, elección, acceso y corrección, supervisión de los proveedores de servicios y seguridad de los datos. En gran medida, es posible crear un programa de privacidad y construir productos que tengan en cuenta estos principios básicos", afirma. Sin embargo, a medida que cada ley se vuelve más detallada y más burocrática, es más difícil crear coherencia y construir programas que realmente protejan la privacidad utilizando ese mismo conjunto de principios básicos.
"Tenemos que volver a los principios básicos, en lugar de limitarnos a aumentar los requisitos o a igualar lo que hace otro país", afirma Wugmeister. "Intentar hacer las cosas cada vez más estrictas, por ejemplo, no es necesariamente útil. Puede crear un mosaico de regímenes diferentes que en realidad no mejora la privacidad".
Wugmeister también advierte de que la localización de los datos, también conocida como soberanía de los datos —trasladar los datos de las bases de datos centralizadas a su dispersión en múltiples lugares, para proporcionar un mayor control local sobre esos datos y desalentar que se mantengan fuera del alcance de un país— está surgiendo como un nuevo requisito en algunos países. Más de 100 países tienen este requisito, y la India lo está considerando. "Si vas a pasar a la localización de datos, vas a volver a tener muchos servidores en muchos lugares diferentes. Y entonces la pregunta es: '¿Cómo se van a mantener de forma segura?".
La localización de los datos también conlleva otro riesgo, dice: "Las empresas guardan los datos en su país para que los reguladores tengan acceso a ellos. Entonces, ¿se trata realmente de privacidad o de nacionalismo? Las leyes de privacidad pueden utilizarse e interpretarse para lograr otros objetivos". China, por ejemplo, tiene los requisitos de localización de datos más estrictos del mundo.
Puede ser necesario un tratado internacional sobre la privacidad de los datos
Aunque GDPR se ha convertido en una especie de vara de medir mundial —y por buenas razones— Greenleaf, de la UNSW Sydney, sostiene que sería útil un marco más uniforme y vinculante. Un tratado internacional podría ofrecer una coherencia muy necesaria para las organizaciones que tratan con regímenes de diferentes países y crear un verdadero punto de referencia para medir la fuerza y las debilidades relativas de los diversos regímenes.
Greenleaf señala el Convenio 108 original del Consejo de Europa, de los años 80, que podría desarrollarse y ampliarse para ser un punto de referencia mundial. "Es el único tratado internacional real en relación con la privacidad de los datos, mientras que el RGPD no es un tratado", afirma.
Con el Convenio 108, los países se adhieren voluntariamente y se comprometen a observar sus principios y a permitir el libre flujo de datos personales a otros países que sean parte de él. Al tratarse de un tratado abierto, cualquier país cuya legislación cumpla sus normas puede solicitar su adhesión. "Hay ocho países fuera de Europa que son partes, y todos ellos, en este momento, se encuentran en África o América Latina", dice Greenleaf.
Greenleaf afirma que, en lugar de empezar con un convenio completamente nuevo sin signatarios existentes, es mejor ampliar el Convenio 108, que es una versión moderada del GDPR y que ya cuenta con 55 partes, incluidas muchas de las economías más avanzadas del mundo.
