¿Qué es GDPR?
El Reglamento general de protección de datos, más conocido como "GDPR", es un reglamento en la legislación de la Unión Europea implementado desde el 25 de mayo de 2018. Su objetivo es aumentar la protección de datos para los ciudadanos y personas de la UE dentro del Espacio Económico Europeo y simplificar el internacional. Reglamento mediante la unificación del sistema europeo.
Aunque los nuevos requisitos que se esperan de las compañías de recopilación de datos se establecieron para fomentar la transparencia, varias obligaciones regulan la información, el acceso y la comunicación con el interesado (Stibbe), los cambios necesitarán tiempo y recursos para ser procesados.
Estos desafíos son el estudio central de este artículo.
Impacto en los actores
1. Usuarios o sujetos de datos.
Es posible que la mayoría de los usuarios o de los datos no vean la diferencia antes y después de que se estableció el Reglamento. Sin embargo, para la mayoría de los avisos, muchos notarán que los Términos y Condiciones vuelven a enviar sus sitios web. Los cambios no son evidentes cuando se navega en Internet, con la excepción de que se pueden ver menos anuncios orientados, ya que las empresas ya no están autorizadas para mostrarlos sin el consentimiento claro.
En un objetivo de total transparencia, los sujetos de datos ahora pueden solicitar sus datos personales y solicitar la eliminación completa. Además, si creen que sus datos personales están siendo mal utilizados, pueden solicitar una investigación. Por último, pero no menos importante, los datos personales de uno pueden transferirse de un servicio / empresa a otro, lo que significa que los interesados europeos pueden cambiar de un banco a otro, por ejemplo.
2. negocios
a) Negocios de tecnología y datos
Como los sujetos de datos tienen más poder que nunca, la industria de datos "podría tener un efecto sísmico en la industria de datos", según el autor de The Gardian, Alex Hern. De hecho, muchas empresas confían en la adquisición y venta de datos de consumo. La mayoría, si no todos, los datos del consumidor se intercambian globalmente sin el consentimiento claro del cliente. Al ser privadas del poder, las empresas tienen que adaptarse a los cambios, donde incluirían a los sujetos de los datos en la ecuación. Un cambio tan drástico fue bastante inesperado, y la mayoría de las empresas no están preparadas (ver Implementación).
Aunque todas las empresas relacionadas con la Unión Europea de una u otra manera se ven afectadas por GDPR, las que más pagan son las empresas de tecnología y datos. El autor del New York Times, Adam Satariano, sugiere que "la publicidad en línea en Europa podría ser más amplia, volviendo a estilos más parecidos a las revistas y la televisión, donde los anunciantes tienen un sentido menos detallado de la audiencia".
b) Tech Titans (GAFA, NATU, BATX)
Los Tech Titans, más a menudo definidos como GAFA para Google, Apple, Facebook y Amazon, son los primeros en línea con respecto al Reglamento. De hecho, son los que controlan todo el mercado de datos, que representan $ 42 mil millones en 2018.
Como se detalla en el informe de los Consejos de Consumidores de Noruega, las compañías GAFA (especialmente Facebook y Google tomadas como objeto de estudio en este informe) basan su modelo de negocio en la recopilación de datos. Para optimizarlo, utilizan prácticas poco éticas, como establecer la configuración predeterminada en la opción menos amigable con la privacidad o imponer las opciones de 'tómalo o déjalo'. Como se explicó, 'en lugar de tomar decisiones basadas en la racionalidad, los individuos tienen una tendencia a ser influenciados por una variedad de sesgos cognitivos, a menudo sin ser conscientes de ello', y las compañías GAFA que son conscientes de estos sesgos no tienen remordimientos al aplicarlos, dejando Usuarios desapercibidos de lo que acuerdan.
Si bien tienen mucho que perder con el Reglamento, la respuesta de las compañías de GAFA a GDPR no fue hostil a nivel mundial. Como se dijo en el artículo de The Guardian, 'GDPR se aplica solo a la UE, pero dada la escala del mercado, muchas empresas están decidiendo que es más fácil, por no mencionar una victoria en las relaciones públicas, aplicar sus términos a nivel mundial'. Entre otros, para cumple con GDPR, Facebook lanzó un conjunto de nuevas herramientas y Google cambió 'el valor predeterminado para la retención de datos, lo que significa que si no tomas medidas, ciertos datos anteriores al corte se eliminarán automáticamente', como se explica en el artículo de Moz.
Si bien los usuarios europeos han visto sus Términos y condiciones actualizados y parte del poder para controlar su información personal recuperada, los usuarios no europeos todavía están bajo la gran influencia de GAFA y otros gigantes de la tecnología. Con respecto al caso de Facebook, Natasha Singer, autora del New York Times, escribe: "si Facebook quiere ofrecer protección de privacidad a nivel europeo a todos, también deberá proporcionar a sus usuarios los datos que Facebook mismo recopiló o creó sobre ellos, incluidas las categorías, Las descripciones o los puntajes de comportamiento que Facebook les asignó, dicen los expertos europeos en privacidad. 'Según el artículo de Politico,' Facebook ha modificado su lenguaje legal para que las personas de toda Asia, América Latina y África ya no estén bajo la jurisdicción del perro guardián de la privacidad de Irlanda. 'Hacer que las condiciones que cumplen con GDPR sean aplicables solo para usuarios europeos.
3. Sanciones
De acuerdo con los artículos 83 (4), 83 (5) y 83 (6) de la GDPR, las multas pueden alcanzar hasta € 20,000,000 o, en el caso de una empresa, hasta el 4% del total de la facturación anual mundial del anterior. año financiero. Concretamente, una empresa como Facebook podría terminar pagando hasta $ 1.6 mil millones, si no cumplen con los requisitos.
Implementación
El proceso de implementación de GDPR requiere varios pasos detallados en el Informe Anual de Gobernabilidad 2018 de IAPP-EY publicado el 2 de noviembre de 2018. En esta parte, se destacarán las estadísticas recientes para comprender los verdaderos desafíos que enfrenta el Reglamento para su implementación. De acuerdo con el artículo 3 de GDPR, la implementación no solo es efectiva para las empresas con sede en la UE, sino también para todas las empresas que interactúan directa o indirectamente con el mercado europeo.
1. Estadísticas actuales
El Informe Anual de Gobernabilidad 2018 de IAPP-EY se publicó el 2 de noviembre de 2018, brindando al público una visión más precisa de la evolución de GDPR. Los siguientes números son los oficiales del informe, que brindan una perspectiva adicional de la problemática de la implementación de GDPR.
GDPR es la primera declaración legal estricta que garantiza la protección de datos personales desde la Directiva de protección de datos de la UE de 1995. Es la primera en aplicarse en la era de Internet y las redes sociales.
Como no se establecieron regulaciones estrictas antes de eso, las empresas en línea, especialmente aquellas que basan su modelo en la gestión de datos, se tomaron libertades que no estaban necesariamente a favor de la protección de datos personales de los individuos. De hecho, la mayoría de las empresas pueden verse agobiadas por los requisitos del Reglamento, ya que "anteriormente no tenían herramientas para recopilar todos los datos que poseen sobre un individuo", según el artículo de The Guardian.
Como resultado, menos de la mitad de las empresas se consideran totalmente conformes o cercanas, y solo el 25% espera estar listo para fines de 2018.
2. Estados miembros
Según la tabla de la IAPP, la mayoría de los países europeos han aprobado el Reglamento en su propia ley nacional. El primer país en adoptarlo fue Alemania, seguido de Austria.
Los Estados miembros están obligados a aplicar el Reglamento, ya que se lo considera "una norma legal superior", como se explica en el artículo de Deloitte, "Si una ley nacional no está en línea con el GDPR, el país viola su obligación de lealtad en el art. 4 EUV, que puede dar lugar a un procedimiento de infracción contra este país. "Lo que explica una estandarización de la ley relacionada con los datos y la privacidad.
Como se señala en el artículo de The Guardian, "los reguladores podrán trabajar en concierto en toda la UE por primera vez", uniendo a la Unión Europea más que nunca. Con un objetivo de aplicación de la ley, los comisionados de protección de datos, como Helen Dixon en Irlanda, están listos para oponerse a Tech Giants en sus prácticas poco éticas.
a) alemania
En respuesta al GDPR, Alemania publicó un nuevo Bundesdatenschutzgesetz (BDSG) durante el verano de 2018. Como GDPR actúa como una ley superior, Alemania tuvo que revisar varios aspectos de su ley con respecto a los datos y la privacidad en línea. Estas modificaciones incluyen:
la designación de un DPO "Si al menos 10 personas participan regularmente en el procesamiento de datos personales en su totalidad o en partes por medios automáticos", "si realizan un procesamiento que está sujeto a una evaluación de impacto de protección de datos de conformidad con el art. 35 GDPR o si procesan datos personales con fines de transferencia o transferencia anónima o con fines de investigación de mercado o opinión ".Procesamiento de datos en el contexto del empleo., lo que hace que el proceso de investigación de datos de los empleados sea mucho más estricto para el empleo y el uso de los datos personales de los empleados mucho más reguladoProcesamiento de datos en el contexto de la videovigilancia., haciendo que el nombre del controlador sea más rápidoProcesamiento de datos en el contexto del perfilado., permitiendo a los sujetos de datos elegir si desean o no compartir sus datos personales y para qué finesel uso de cheques de crédito, donde la puntuación no puede ser determinada únicamente por los datos de la direccióndisposiciones de derecho penal para prevenir infracciones a la ley
b) Reino Unido
Como el Reino Unido votó por Brexit en 2016, ¿el Reglamento también se aplica a ellos? Como se explica en gdpr.associates, ‘El Reglamento general de protección de datos se aplica a todas las empresas con sede en la UE y aquellas con ciudadanos de la UE como clientes. Tiene un efecto extraterritorial, por lo que los países no pertenecientes a la UE también se ven afectados. A pesar de que el Reino Unido planea abandonar la UE, el Reino Unido seguirá teniendo que cumplir con el GDPR. "Independientemente de si el Reino Unido pertenece o no a la UE, aún tiene sus obligaciones hacia la UE como país externo (al igual que Estados Unidos o Australia), siendo el Reglamento extraterritorial.
Elizabeth Denham, la Comisionada de Información del Reino Unido, se posiciona a favor de la implementación de GDPR a través del fomento y la recompensa de las empresas que están listas para cumplir con el Reglamento: Denham dice que "no hay intención" de revisar cómo su oficina reparte multas y regula la protección de datos el Reino Unido. Agrega que el ICO prefiere trabajar con las organizaciones para mejorar sus prácticas y, a veces, una "carta severa" puede ser suficiente para que esto suceda.
El Reino Unido modificó su documento oficial de 1998 el 23 de mayo de 2018, estableciendo la edad legal para el consentimiento en 13 años en lugar de 16, y las exenciones de ciertos derechos y obligaciones establecidos en el GDPR cuando se trata de ciertos delincuentes y Asuntos de inmigración ', según Inside Privacy.
3. Estados extranjeros
Como se dijo repetidamente, y contrariamente a algunas falsas creencias, GDPR no solo concierne a los Estados miembros. De hecho, todas las corporaciones en todo el mundo en relación con la Unión Europea o los ciudadanos europeos deben aplicar el Reglamento bajo pena de ser sancionados, como se describió anteriormente.
Según el informe IAPP 2018, los profesionales de la privacidad más preocupados se encuentran en los Estados Unidos. Como el Reglamento puede parecer desafiante para algunas empresas, se debe hacer una elección convincente: cumplir con GDPR o retirarse del mercado europeo. En esta sección, se estudiará la reacción de los estados extranjeros.
a) Estados Unidos
GDPR es la primera acción amplia y concreta tomada para la privacidad de los datos personales en un mercado grande e influyente. Los Estados Unidos y Europa comercializaron, en 2016, casi $ 1.1 billones, según el sitio web de USTR, convirtiendo a los Estados Unidos en uno de los primeros países afectados por el Reglamento aprobado en mayo de 2018. Tras el Reglamento, los Estados Unidos iniciaron una conversación relativa a La privacidad de los datos en el centro del país, una conversación que no habría ocurrido de otro modo, según Will Hurd, presidente del Subcomité de Tecnología de la Información del Comité de la Cámara.
Aunque el gobierno federal no realizó ninguna declaración legal concreta, el gobierno de California decidió lo contrario. Por lo tanto, según The Register, California aprobó sus propias normas estrictas de privacidad, con planes para ponerlo en práctica en enero de 2020. Esta legislación otorgó a los sujetos de datos el derecho de acceso a los datos que las compañías tienen sobre ellos, y 'solicitar que se eliminen. y no vendidos a terceros '.
Esta prisa por aprobar dicha legislación puede explicarse por la presencia de Silicon Valley en el estado, lo que hace que la población local esté más consciente y preocupada por la privacidad de los datos.
b) China
China es el segundo socio comercial más grande de la Unión Europea después de los Estados Unidos. Con respecto a las políticas de privacidad y la legislación, el régimen de protección de datos chino lanzado en 2017 muestra más compatibilidad con el GDPR que con los compromisos de EE. UU.
La conversación china sobre la privacidad de los datos se discutió a fondo antes del GDPR, y comenzó a implementarse más severamente desde que se lanzó el Reglamento, que une a China y la Unión Europea, y que resulta en una marginación económica de los Estados Unidos.
Soluciones
A lo largo de este artículo, el lector puede comprender los desafíos relacionados con la implementación de GDPR. En esta sección, se discutirán soluciones para facilitar el proceso.
1. Acuerdos internacionales
a) Marco de privacidad de APEC y reglas de privacidad transfronterizas (CBPR)
Los países que comercian con la Unión Europea están obligados a cumplir con el Reglamento (al menos para su mercado europeo). Sin embargo, la mayoría de los países ya tienen leyes nacionales incompatibles con el GDPR sin modificaciones. Para realizar negocios internacionales, los estados extranjeros, como los Estados Unidos, buscan acuerdos con la Unión Europea. Manteniendo el caso de los EE. UU., Se firmó el acuerdo del Escudo de la privacidad, lo que permite a las dos partes seguir su colaboración. El acuerdo CBPR es crucial para el crecimiento económico y el flujo de información.
Este sistema requiere que las empresas participen, ya que están en el centro de la legislación. Como se explica en el artículo de IAPP, CBPR no requiere que los países participantes modifiquen su legislación nacional, en contra de GDPR.
b) Adecuación de la protección de datos personales en países no pertenecientes a la UE
Como se establece en el artículo 45 de la GDPR, la Comisión Europea puede decidir sobre la base de los elementos descritos, si un tercer país o una organización internacional puede beneficiarse de una decisión de adecuación. En otras palabras, si un tercer país u organización internacional puede proporcionar un nivel adecuado de protección, la Comisión Europea puede incluirlo en la lista blanca, lo que permite la transferencia de datos sin previo aviso.
Según el sitio web de la Comisión Europea, 12 países o corporaciones han sido reconocidos como tales, entre ellos Andorra, Argentina, Canadá (organizaciones comerciales), Islas Feroe, Guernsey, Israel, Isla de Man, Jersey, Nueva Zelanda, Suiza, Uruguay y Estados Unidos. Estados de América (limitado al marco del Escudo de Privacidad).
2. nuevos negocios
Como se explica en el Informe Anual de Gobernabilidad 2018 de IAPP-EY, 'En esta cuarta iteración del Informe de Gobernabilidad de la Privacidad de IAPP-EY, vemos un aumento significativo en el número de profesionales de la privacidad que trabajan a tiempo completo en programas de privacidad dedicados: la media mundial de los empleados que trabajan a tiempo completo en programas de privacidad han subido durante el año pasado de 6.8 a 10 empleados de privacidad a tiempo completo. De hecho, se estimó que las grandes empresas británicas combinaron una preparación de $ 1.1 mil millones para GDPR y $ 7.8 mil millones para las grandes empresas de EE. UU. En el artículo de Forbes.
Como se vio en las estadísticas anteriores, las empresas (especialmente las grandes y maduras) están trabajando para lograr el cumplimiento contratando, invirtiendo en capacitación, tecnología y personal y presupuesto de privacidad. Cada vez más, las empresas están buscando servicios B2B que les permitan cumplir con las nuevas regulaciones vigentes. Markets and Markets espera que "el mercado de servicios GDPR crezca de USD 907.4 millones en 2018 a USD 2,659.4 millones para 2023, a una tasa de crecimiento anual compuesta (CAGR) de 24.0% durante el período de pronóstico".
Esta increíble oportunidad de mercado abre el camino para el surgimiento de nuevos negocios que solo brindan un servicio de cumplimiento GDPR. Por ejemplo, Maureen Data Systems es una compañía estadounidense que brinda servicios para el cumplimiento de GDPR. Un equivalente en el Reino Unido sería Oosha.
El futuro de GDPR
1. Límites
a) Injusticia hacia las pequeñas empresas
Si bien GDPR tiene la intención de permitir que los sujetos de los datos recuperen el control sobre sus datos y privacidad, también provoca un cambio colosal en el mercado en línea actual. De hecho, actualmente los datos son el producto más comercializado para las empresas en línea. Agregar obstáculos a ese comercio por lo tanto, y obviamente, causará cambios importantes. Aunque es justo aplicarlo a todas las empresas, las que mejor se adapten serán las que tengan más recursos. En otras palabras, las pequeñas empresas podrían terminar fuera de paso en el juego hacia el cumplimiento.
b) ¿Cómo pueden "pagarse" los servicios gratuitos?
"Si no está pagando por ello, usted es el producto que se vende". Esta famosa cita en realidad refleja el funcionamiento de la sociedad actual (de hecho, incluso cuando se paga, "nosotros" todavía se venden). Sin embargo, es cierto: si todos los servicios a los que todos pueden acceder de forma gratuita (redes sociales, Internet …) simplemente mediante la divulgación de datos personales no tienen ningún poder sobre esos datos, ¿cómo se puede pagar? Más importante aún, ¿quién estaría dispuesto a pagar una tarifa mensual para acceder a Facebook o simplemente a la búsqueda de Google?
2. La Oportunidad de blockchain
Mientras las empresas están trabajando para cumplir con GDPR, el Parlamento de la Unión Europea adoptó una resolución (subrayando) que la tecnología blockchain puede proporcionar soluciones para las disposiciones de 'protección de datos por diseño' en la implementación de GDPR sobre la base de sus principios comunes de garantizar la seguridad y la autoevaluación. datos regidos. Este llamado a la adopción de medidas para la adopción de la cadena de bloques en el comercio proporciona la base para una solución a largo plazo que involucra la tecnología de la cadena de bloques.
El mercado de blockchain representó USD 339.5 millones en 2017, y se espera que crezca a USD 2.3 mil millones para 2021, según Statista. La apertura del mercado de GDPR combinada con el crecimiento gigantesco del mercado de la tecnología de blockchain puede brindar a las empresas e individuos oportunidades increíbles.
Muchos creen erróneamente que la pseudonimización blockchain contrarrestará la regulación europea. Sin embargo, blockchain es una herramienta, no un actor. El núcleo de blockchain reside en el hecho mismo de que cada pieza de información registrada en el blockchain es única e inalterable. Como se resume en el artículo de Forbes, "la razón por la que GDPR entró en existencia fue la pérdida de confianza en las grandes corporaciones cuando se trataba de acceder a datos individuales, y con la cadena de bloques, su naturaleza descentralizada elimina totalmente el control de dichos datos".
Con respecto a GDPR, blockchain tiene el poder de transportarlo, ya que los individuos estarán en conexión directa con todos los servicios a los que necesitan acceso. En última instancia, y gracias a blockchain, las personas pueden recuperar el control total sobre sus datos y entregarlos a las personas y las empresas a las que desean entregarlos, lo que resulta en un mayor y más significativo compromiso del cliente.