A medida que nos acercamos al final de un 2019 trascendental, echamos un vistazo a cinco temas de privacidad para el próximo año. Para aquellos de nuestros lectores en Estados Unidos, la Ley de Privacidad del Consumidor de California (CCPA) ocuparía probablemente el primer puesto, principalmente debido a la confusión sobre la normativa y los requisitos de la ley.
En Estados Unidos también existe la siempre esquiva legislación federal sobre privacidad, las acciones de la FTC y la participación de los fiscales generales estatales en la aplicación de la privacidad.
En Europa tenemos el Reglamento General de Protección de Datos (RGPD) que, durante su primer año de aplicación, ha costado múltiples millones en multas a las empresas que lo han incumplido.
Como profesionales de la privacidad de datos, hemos sido testigos de muchos cambios en el panorama de la privacidad y la protección de datos. Y, a medida que nos adentramos en una nueva década, el año 2020 ya parece estar encaminado a más de lo mismo, ya que anticipamos una secuencia de desarrollos y desafíos significativos en los próximos 12 meses.
Entonces, ¿a qué retos de privacidad de datos podemos esperar enfrentarnos en 2020?
#1: La UE, el RGPD y el Brexit
El GDPR ha servido de modelo útil para varias leyes de privacidad a nivel estatal en los Estados Unidos, especialmente en el caso de la CCPA de California, que se considera muy influenciada por la legislación de la UE. En consecuencia, consideramos que las empresas estadounidenses con intereses comerciales en Europa, que ya han pasado por el proceso de cumplimiento del RGPD, deberían tener menos problemas para cumplir con la CCPA.
Pero, para consternación de las empresas cubiertas en Europa y fuera de ella, el RGPD nunca estuvo destinado a ser una pieza única de legislación sobre privacidad. Muchas empresas abordaron el cumplimiento del RGPD como si fuera un examen de conducir. Y al igual que muchos conductores nuevos, empezamos con buenas intenciones, pero poco a poco volvemos a los malos hábitos con el tiempo, incumpliendo las normas y responsabilidades que rigen la seguridad vial.
Un colega de la privacidad dijo recientemente que "el RGPD requiere un cambio de estilo de vida". Incorporar sólidos principios de privacidad en los procesos empresariales diarios, de modo que se convierta en un hábito, en el que ni siquiera se piense si hay que hacerlo porque se ha convertido en parte de lo que se hace.
Sin embargo, la mayoría de las empresas no están ni siquiera cerca de hacer ese "cambio de estilo de vida". Incluso aquellas cuyos mejores esfuerzos las han puesto en bastante buena forma todavía tienen un largo camino por recorrer antes de que el GDPR se integre plenamente en sus procesos empresariales.
A medida que el RGPD evoluciona y se afianza su aplicación, las empresas cubiertas tendrán que enfrentarse a los retos operativos de la aplicación del RGPD para demostrar un compromiso continuo con el cumplimiento. Y con el GDPR v2.0 en ciernes, esta ley de privacidad no va a desaparecer.
A todo esto se suma la actual "batalla del Brexit". Decir que el Reino Unido se encuentra en un estado de incertidumbre es quedarse corto, y hay problemas más importantes que la privacidad de los datos. El cambio a un nuevo conjunto de leyes que rigen la privacidad de los residentes en el Reino Unido, al tiempo que se sigue cumpliendo con el GDPR en lo que respecta a los ciudadanos de la UE, es probable que cause una confusión masiva para la privacidad de los datos. También hay que tener en cuenta la posible interrupción de los mecanismos de transferencia de datos entre la UE, el Reino Unido y los Estados Unidos.
#2: California y la CCPA
Está bastante claro que la comprensión y la aplicación de la Ley de Privacidad del Consumidor de California (CCPA) en 2020 representa importantes desafíos para las empresas de todos los sectores. Habiendo asistido a una serie de corporaciones del mercado medio, incluyendo empresas de la lista Fortune 500, con intereses comerciales en California, estamos anticipando un impacto que iguala al del GDPR en mayo de 2018. La principal diferencia es el plazo comparativamente más corto con el que tienen que trabajar las empresas cubiertas, además de un conjunto de requisitos legales aún más complicado.
Cualquiera que sea su opinión sobre la estructura básica y el contenido de la legislación, el lenguaje utilizado en la versión actual de la CCPA se considera ampliamente confuso en extremo.
Un bufete de abogados estadounidense comentó recientemente que, debido a las intersecciones de las disposiciones de la ley en los flujos de datos, ahora es imperativo que las empresas se preparen con antelación, con el fin de abordar "cuestiones complicadas con los socios comerciales de arriba a abajo".
Al igual que el RGPD, la CCPA 2.0 también está en el horizonte, y el hecho de que las normas modificadas y nuevas aún no se hayan finalizado, el cumplimiento final no será una hazaña.
#3: La Comisión Federal de Comercio
La Comisión Federal de Comercio (FTC) sigue siendo considerada por muchos como el principal regulador de la privacidad de los datos. Sin embargo, la gran mayoría de las acciones de la FTC se han concentrado no tanto en la privacidad, sino en cuestiones de seguridad de los datos. A principios de este año, el departamento se ha puesto duro con las empresas que han incurrido en violaciones de datos, con multas de gran envergadura.
También se están llevando a cabo una serie de nuevos procedimientos de investigación, lo que hace que tanto los profesionales de la privacidad como las empresas cubiertas se sientan a observar cada movimiento de la FTC, mientras que al mismo tiempo, es evidente que la FTC se ha visto obstaculizada en cierta medida por su propia herramienta principal de aplicación, que generalmente no proporciona los medios para imponer multas en primera instancia.
Parece bastante claro que la FTC está buscando formas de mejorar la aplicación de la privacidad de los datos.
#4: Legislación federal - "La mariposa escurridiza" de la ley nacional de privacidad
Ley Federal de Privacidad. No hay mucho que decir aquí. Esta posible "bofetada" a la privacidad a nivel estatal ha sido un debate continuo durante casi 20 años. Y todavía no hay señales de ningún progreso significativo a corto plazo. Dicho esto, muchos creen que el efecto combinado del GDPR, la CCPA de California, más una amplia variedad de violaciones de la privacidad y los escándalos de seguridad de datos que involucran a las grandes corporaciones tecnológicas están haciendo que una ley de privacidad nacionalizada sea cada vez más probable.
Mientras todo esto sucede (o no en marcha) la profundización de las preocupaciones sobre la situación actual en el Congreso, junto con un año de elecciones presidenciales tempestuoso, indican claramente las probabilidades extremadamente improbables de que una ley federal de privacidad haga finalmente su aparición en 2020.
Ahora bien, en The Data Privacy Group no somos de ninguna manera adivinos profesionales, pero es nuestra conjetura que es probable que más estados sigan los pasos de California, incluso si embellecen con sus propias regulaciones que no siguen la pista de la CCPA. Bastará con que media docena de estados aprueben sus propias leyes de privacidad en 2020 para que sea más probable que se apruebe una legislación nacional sobre privacidad, aunque no antes de 2021.
#5: Participación de los Fiscales Generales del Estado
En la actualidad, casi todos los fiscales generales estatales comparten la misma autoridad esencial de protección del consumidor que la Comisión Federal de Comercio. Sin embargo, los fiscales generales estatales no están inhibidos por algunas de las limitaciones procesales que obstaculizan a la FTC.
Durante el año 2019, los fiscales generales estatales empezaron a hacer valer su autoridad, tanto a título individual como colectivo. Se han coordinado casos, como la investigación antimonopolio de Facebook liderada por Nueva York, cuando la fiscal general del estado de Nueva York, Letitia James, anunció que 47 fiscales generales de estados y territorios de Estados Unidos planeaban participar en una investigación multiestatal el pasado mes de septiembre.
Sin duda, estaremos atentos el año que viene para ver si esta colaboración en la aplicación de la ley sigue creciendo, y si los fiscales estatales se involucran en la gobernanza de la privacidad sólo cuando las empresas han llevado a cabo acciones que contravienen las leyes de privacidad, o si los fiscales se vuelven más motivados políticamente en sus esfuerzos continuos.
Conclusión:
Como profesionales de la privacidad de los datos, ya sabemos que tendremos mucho trabajo en 2020. Ya estamos viendo en el horizonte mayores retos para las empresas de todo el mundo, junto con la creciente preocupación por la aplicación de la privacidad a escala internacional.
Las empresas de todo el mundo y de todos los sectores que recopilan, procesan y divulgan datos personales para apoyar sus operaciones comerciales se enfrentarán a mayores riesgos, si quieren también disfrutar de las oportunidades y beneficios de hacer negocios en nuestro mundo conectado.