• El importante Reglamento General de Protección de Datos (GDPR) de la UE tiene el potencial de establecer un nuevo estándar de oro para la protección de datos, mejorando considerablemente la protección de los consumidores en la UE y a nivel internacional. Faltando 10 meses antes de que entre en vigor el GDPR, los expertos en abogacía de Consumers International (que integra más de 200 organizaciones de consumidores en más de 100 países, incluyendo ASGECO) consideran las oportunidades y desafíos internacionales que esto puede presentar. 

 

El GDPR es una evolución de las actuales leyes de la UE, no una revolución. Mejora los derechos de los interesados y las capacidades de aplicación. Un cambio importante es que requerirá que todas las empresas y organizaciones que procesen datos de ciudadanos de la UE cumplan con los requisitos de GDPR. Esto por sí solo, dará a la nueva regulación un alcance internacional considerable. Sin embargo, añade el deseo de las empresas de sistemas estandarizados y de gestión transparente de datos transfronterizos y hay un incentivo aún más fuerte para armonizar las prácticas.

Puntos clave del GDPR

  • Prueba de consentimiento más firme: ahora se necesita un consentimiento inequívoco si los datos recogidos no son datos personales confidenciales. Aunque ahora se requiere el consentimiento explícito cuando se recopilan datos personales sensibles, como datos de salud física o mental. Como era de esperar, ha habido mucho debate sobre la diferencia entre los términos “explícito” y “no ambiguo”. Sin embargo, lo cierto es que las empresas tendrán que trabajar mucho más para demostrar que los consumidores han comprendido y aceptado sus condiciones de uso.
  • Portabilidad: el derecho a la portabilidad de datos permite a las personas obtener y reutilizar sus datos personales a través de diferentes servicios. La idea es que esto facilitará a las personas cambiar entre servicios y reducir el problema de “bloqueo”.
  • El derecho a ser olvidado, oficialmente llamado “derecho a borrar”: las personas pueden ahora solicitar que sus datos personales sean borrados o no utilizados en circunstancias específicas. A pesar de que existen varias excepciones, se basa en el derecho a ser olvidado establecido en la jurisprudencia del TJCE en 2014..
  • Notificación de infracción obligatoria: en el caso de una violación de datos personales que pueda tener efectos perjudiciales para una persona (por ejemplo, daños a la reputación, pérdida de confidencialidad o pérdida financiera), la organización deberá notificar esta infracción a las personas afectadas, Así como la autoridad de supervisión pertinente o se enfrenta a una multa.
  • Representación directa de las ONG: los consumidores de toda la UE tienen ahora el derecho de pedir a una ONG competente que reclame contra los procesadores de datos en su nombre. Los países también pueden otorgar a dichas ONG el derecho a adoptar medidas colectivas. [Muchos comentaristas han sugerido que esto dará lugar a un aumento significativo en el número de demandas colectivas de litigios poco después de que entre en vigor, como fue el caso en los EE.UU.]
  • Multas: Las sanciones aplicables a las empresas que no cumplan los nuevos requisitos han aumentado hasta 20 millones de euros, es decir, un 4% del volumen de negocios global anual, el que sea mayor.
  • Implicaciones internacionales: el lugar de procesamiento de los datos de los ciudadanos de la UE ya no es relevante. Básicamente, no importa cuáles sean las reglas en el lugar donde se procesan los datos de una persona, si las organizaciones se dirigen específicamente a los ciudadanos de la UE o supervisan su comportamiento en línea, entonces se aplica el GDPR.

El desafío para las empresas

Según una reciente encuesta realizada por Dell, el 97% de las empresas globales contactadas no tenían un plan establecido para cumplir con los requisitos para GDPR y sólo uno de cada nueve profesionales de TI y negocios se sienten seguros de que estarán listos una vez que llegue. Las cifras son ligeramente mejores dentro de la UE; un estudio muestra que 42% de las empresas de Europa occidental creen que estarán listas para GDPR una vez que llegue en 2018.

Entonces, ¿cuál es el desafío? En algunos casos, exigirá a las empresas que reconsideren la naturaleza misma de sus modelos de negocio que se han basado en un amplio consentimiento para recopilar una amplia gama de datos personales con fines a menudo indefinidos. Por lo tanto, muchos aspectos de las operaciones de negocio desde la estrategia de comercialización, y abogados de privacidad, hasta diseño de la infraestructura técnica necesitarán ser involucrados.

También es un desafío de inversión. Se necesitarán inversiones en todas las fases de la preparación, incluidas las de las grandes empresas, el nombramiento de un oficial de protección de datos que necesitará conocimientos especializados de las leyes y prácticas de protección de datos.

¿Actualizando o comenzando desde cero?

La magnitud del desafío que enfrentan las empresas y las organizaciones depende en parte de si ya están operando en jurisdicciones con legislación sobre protección de datos.. Algunos países ya cuentan con una amplia legislación en materia de protección de datos, aunque es posible que se necesiten revisiones y mejoras significativas para los países que quieran ser calificados como “adecuados” por la UE para fines de transferencia de datos. En otros casos, los procesadores de datos pueden estar operando en países sin marcos de protección de datos robustos.

En un próximo estudio de Consumers International, en 23 países de ingresos medios, bajos-medios y bajos, se encontró que sólo 13 tenían marcos legales para la protección de datos, mientras que siete tenían un proyecto de ley que progresaba lentamente. Miembros y expertos nos dijeron que la falta de voluntad política y la escasa comprensión del frecuentemente mundo complejo de la protección de datos es la razón por la cual las legislaciones pueden tomar años para implementarse.

La carrera por la ventaja competitiva

Algunos comentaristas han sugerido que los países en desarrollo con mano de obra educada, un gobierno pro-empresarial y un poder judicial eficiente podrían beneficiarse de las demandas que el GDPR creará, sin embargo, en muchos países el poder judicial y legislativo tendrá dificultades para encontrar los recursos necesarios para apoyar el monitoreo, auditoría y tramitación de reclamaciones requeridas por el GDPR. La preocupación por la capacidad propia de la UE para satisfacer la demanda de Funcionarios Encargados de la Protección de Datos y los conocimientos jurídicos necesarios para hacer cumplir el GDPR será un desafío para los países con menos experiencia en este ámbito.

Las empresas más pequeñas también pueden luchar para competir con grandes gigantes de la tecnología de EE.UU. en la carrera por designar a los oficiales de protección de datos y, al menos inicialmente, personal calificado podría ser atraído a los centros con las empresas más grandes y los salarios más altos.

El reto de los diferentes sistemas jurídicos y enfoques

La investigación internacional y la existencia de leyes de protección de datos en la mayoría de las regiones sugieren una amplia aceptación y apoyo a los principios de protección de datos, por lo que en muchos países el GDPR podría ser una valiosa herramienta para fortalecer las llamadas nacionales para mejorar la protección de datos. Sin embargo, la interpretación y el cumplimiento de los requisitos del GDPR pueden no ser tan sencillos en relación con los temas de “privacidad”, “seguridad”, “protección de datos” e incluso “derechos” de diferentes países y regiones.

Las conversaciones con expertos en derechos digitales han puesto de relieve que la aplicación de la ley de protección de datos de arriba hacia abajo puede no alcanzarse tan rápidamente en algunos países y regiones. Los cambios tendrán que reflejar las opiniones locales y ser apoyados por la conciencia social y la defensa nacional.

Regulación de un mercado global en rápida evolución

Para que el GDPR eleve el estándar para la protección de datos de la manera que muchos han propuesto, el primer paso será la implementación exitosa en la UE y la adopción por todas las empresas que operan en la UE. Si se considera que esto avanza bien, las posibilidades de que influya en la práctica internacional serán mucho mayores.

Este blog ha destacado algunas de las principales oportunidades y desafíos inherentes a la adopción global de GDPR – un buen ejemplo del desafío mucho mayor de crear reglas globales, reglamentos y compromisos con la práctica compartida en un mundo digitalizado globalizado donde la práctica y la tecnología exceden las reglas y la regulación.

 

Fuente: Consumers International