En la segunda parte de este artículo, titulado Estrategia de la NTIA para la protección de la intimidad de los consumidores, examinamos los objetivos de alto nivel propuestos por la NTIA para la acción federal. Además, le invitamos a comentar las respuestas recibidas de las grandes empresas tecnológicas, asociaciones y líderes del sector.
Como resultado de su solicitud de comentarios (RFC), la NTIA recibió comentarios y opiniones sobre los siguientes objetivos de alto nivel para la acción federal (abreviado). El documento RFC afirma: ...estos objetivos deben entenderse como el establecimiento de las líneas generales de la dirección que debe tomar la acción federal, además de los comentarios sobre los objetivos. La NTIA solicitó comentarios con detalles sobre cómo se pueden alcanzar estos objetivos.
Objetivos de alto nivel para la acción federal (abreviado)
-
Armonizar el panorama normativo
Aunque el sistema sectorial ofrece protecciones sólidas y específicas y debe mantenerse, es necesario evitar la duplicación y contradicción de las obligaciones relacionadas con la privacidad que se imponen a las organizaciones.
-
Claridad jurídica, manteniendo la flexibilidad para innovar
El estado final ideal garantizaría que las organizaciones tuvieran normas claras que aportaran claridad jurídica, al tiempo que permitieran una flexibilidad que diera cabida a nuevos modelos de negocio y tecnologías, así como los medios para utilizar una variedad de métodos para lograr resultados en materia de privacidad de los consumidores.
-
Aplicación integral
Cualquier acción que aborde la privacidad de los consumidores debe aplicarse a todas las organizaciones del sector privado que recojan, almacenen, utilicen o compartan datos personales en actividades que no estén cubiertas por leyes sectoriales. Las diferencias entre los modelos de negocio y las tecnologías utilizadas deberían abordarse mediante la aplicación de un enfoque basado en los riesgos y los resultados,
-
Emplear un enfoque de riesgos y resultados
En lugar de crear un modelo de cumplimiento que genere engorrosos trámites burocráticos, el enfoque de la normativa sobre privacidad debería basarse en la elaboración de modelos de riesgo y centrarse en la creación de resultados centrados en el usuario:
-
Los enfoques basados en el riesgo permiten a las organizaciones la flexibilidad de equilibrar las necesidades empresariales, las expectativas de los consumidores, las obligaciones legales y los posibles daños a la privacidad, entre otras cosas, a la hora de tomar decisiones sobre cómo adoptar diversas prácticas de privacidad.
-
Los enfoques basados en los resultados también permiten innovar en los métodos utilizados para alcanzar los objetivos de privacidad.
-
Los enfoques basados en el riesgo y los resultados se han utilizado con éxito en la ciberseguridad, y pueden aplicarse de forma que se equilibren las necesidades de las organizaciones de ser ágiles en el desarrollo de nuevos productos, servicios y modelos de negocio con la necesidad de proporcionar protección de la privacidad a sus clientes
-
Interoperabilidad
El crecimiento y el avance de la economía basada en Internet depende de que la información personal se mueva sin problemas a través de las fronteras. La Administración reconoce que los gobiernos enfocan la privacidad de los consumidores de forma diferente, lo que crea la necesidad de mecanismos para salvar las diferencias, al tiempo que se garantiza la protección de los datos personales.
-
Incentivar la investigación sobre la privacidad
La Administración recomienda que el Gobierno de Estados Unidos fomente más la investigación y el desarrollo de productos y servicios que mejoren la protección de la privacidad. Estas tecnologías y soluciones incluirán medidas incorporadas en las arquitecturas de los sistemas o en el diseño de los productos para mitigar los riesgos para la privacidad, así como características de usabilidad a nivel de la interfaz de usuario.
-
Aplicación de la FTC
Dada su historia de eficacia, la FTC es la agencia federal apropiada para hacer cumplir la privacidad de los consumidores, con ciertas excepciones en el caso de leyes sectoriales fuera de la jurisdicción de la FTC, como la HIPAA. Es importante tomar medidas para garantizar que la FTC disponga de los recursos necesarios, de una autoridad estatutaria clara y de una dirección para hacer cumplir las leyes de privacidad de los consumidores...
-
Escalabilidad
La Administración debe garantizar que los palos proverbiales utilizados para incentivar resultados sólidos en materia de privacidad de los consumidores se desplieguen en proporción a la escala y el alcance de la información que maneja una organización. En general, las pequeñas empresas que recopilan poca información personal y no mantienen información sensible sobre sus clientes no deberían ser los principales objetivos de la actividad de aplicación de la privacidad, siempre que hagan esfuerzos de buena fe para utilizar las protecciones de la privacidad.
En el documento de solicitud de comentarios, la NTIA dejó claro que buscaba principalmente opiniones sobre lo que cree que son los resultados básicos de la privacidad que los consumidores pueden esperar de las organizaciones, así como los objetivos de alto nivel propuestos para un estado final de las protecciones de la privacidad de los consumidores de Estados Unidos.
Por ejemplo:
-
¿hay otros resultados que deberían incluirse, o resultados que deberían ampliarse?
-
¿son claras las descripciones?
-
¿se plantean problemas por la forma en que se describen los temas? y;
-
¿existen riesgos que acompañen a la lista de resultados o al enfoque general adoptado?
Respuestas a la RFC
Muchas de las 217 respuestas recibidas hasta el 13-11-2018, publicadas en el sitio web de la NTIA, son, como mínimo, exhaustivas, y algunas tienen cientos de páginas. Por lo tanto, hemos seleccionado una serie de extractos de las respuestas recibidas. Estos aparecerán en los próximos posts sobre este tema.
Para "poner en marcha" el asunto, aquí están los tres primeros extractos para sus comentarios:
Por ejemplo, ¿apoya la introducción de una legislación federal? ¿Deberían integrarse las leyes federales sobre privacidad de los consumidores con las medidas que ya están aplicando los distintos Estados, por ejemplo, la CCPA de California?
Hemos proporcionado un enlace a la lista completa de respuestas a la RFC al final de este post, lo que permite acceder al texto completo de las respuestas recibidas.
Amazon
"[En tercer lugar] apoyamos el objetivo de la NTIA de armonizar el panorama normativo para evitar un mosaico de obligaciones que cargue a las organizaciones y confunda a los usuarios. Para que Estados Unidos sea líder en materia de privacidad, necesitamos un enfoque coherente de la misma que aporte claridad a los consumidores y las empresas estadounidenses. La regulación de la privacidad debe garantizar que cualquier sobrecarga y exigencia administrativa adicional impuesta a las organizaciones produzca realmente beneficios proporcionales para la privacidad de los consumidores."
Google - "Hacia un marco global de privacidad de referencia"
"Google cree firmemente que la legislación federal es el mejor camino para alcanzar los objetivos declarados por la NTIA y reafirma nuestro apoyo de larga data a una legislación de base inteligente y fuerte que consagre altos estándares de privacidad para todos. Aunque existen protecciones de la privacidad significativas y eficaces en la legislación, la normativa y la jurisprudencia nacionales existentes, podemos mejorar el marco actual con una ley de base integral sobre la privacidad que amplíe los derechos y las protecciones mediante la codificación de los principios de privacidad de larga data y la unificación del enfoque de Estados Unidos. Si está bien elaborada, la nueva línea de base podría hacer que la privacidad sea más viable para todos los estadounidenses y proporcionar la seguridad y la flexibilidad de la que dependen las empresas de todo tipo y tamaño para seguir invirtiendo e innovando".
Federación Nacional de Minoristas - "Armonizar el panorama normativo"
"Las empresas estadounidenses, incluidos los minoristas, reconocen que no pueden concentrar sus prácticas de protección de la privacidad de los datos únicamente en el cumplimiento de la normativa federal y estatal sobre privacidad de los datos de Estados Unidos. Es posible que una normativa de datos adoptada en el otro extremo del mundo -como en la Unión Europea (UE)- pueda afectar a una empresa estadounidense que opere enteramente dentro de nuestras fronteras nacionales y que emplee únicamente a trabajadores estadounidenses. Las empresas minoristas también son muy conscientes de la posibilidad de que 50 estados diferentes de EE.UU. y un número incalculable de gobiernos extranjeros propongan cada año nuevas regulaciones de datos que tengan un alcance global, al igual que la naturaleza de los datos que cada ley pretende regular."
Publique sus comentarios a continuación y díganos lo que piensa sobre los planes de la NTIA para un enfoque federal de la privacidad de los consumidores en Estados Unidos.
Fuentes y créditos: NTIA RFC Privacidad del consumidor
Respuestas al RFC: https://www.ntia.doc.gov/other-publication/2018/comments-developing-administration-s-approach-consumer-privacy