La protección y la privacidad de los datos siguen siendo responsabilidades fundamentales de todas las organizaciones que procesan datos personales, pero ¿cómo esperamos que cambie el cumplimiento en los próximos meses?
Estas son las que creemos que serán algunas de las tendencias de cumplimiento y privacidad de datos más importantes en 2022.
Cambios en el ICO
El nuevo comisionado de información, John Edwards, comenzó su mandato de cinco años el 4 de enero, reemplazando a Elizabeth Denham. Edwards, ex comisionado de privacidad de Nueva Zelanda, dijo: “La privacidad es un derecho, no un privilegio. En un mundo donde nuestros datos personales pueden impulsar todo, desde la atención médica que recibimos hasta las oportunidades laborales que vemos, todos merecemos que nuestros datos sean tratados con respeto.
“Mi función es trabajar con aquellos a quienes confiamos nuestros datos para que puedan respetar nuestra privacidad con facilidad y al mismo tiempo aprovechar los beneficios de la innovación basada en datos. También quiero capacitar a las personas para que entiendan e influyan en cómo quieren que se usen sus datos, y facilitar que las personas accedan a los remedios si las cosas salen mal”.
Reformas propuestas a la ley de protección de datos del Reino Unido
Es poco probable que el nombramiento de Edwards marque un cambio significativo en el enfoque de la Oficina del Comisionado de Información (ICO). Sin embargo, como el presione soltar que acompañó el inicio de su mandato observa, 2022 será “un año ajetreado para los derechos de información en el Reino Unido”.
Los gobiernos consulta sobre la LOPD (DPA) 2018 y Reglamento General de Protección de Datos del Reino Unido (GDPR) debería informar en el primer trimestre del año, lo que podría marcar el comienzo de la divergencia del Reino Unido con respecto a la ley de protección de datos de la Unión Europea (UE).
Independientemente de las reformas que se promulguen, vale la pena recordar que el alcance del RGPD de la UE se extiende a todas las organizaciones que ofrecen bienes y servicios a los residentes de la UE, o que monitorean el comportamiento de los mismos.
Las organizaciones en el Reino Unido pueden procesar los datos personales de los residentes de la UE debido a una decisión de adecuación emitida en junio de 2021, que reconoce que la ley de protección de datos del Reino Unido otorga a los datos personales de los residentes de la UE un nivel adecuado de protección. Sin embargo, la decisión de adecuación puede retirarse si la ley de protección de datos del Reino Unido se desvía significativamente del RGPD de la UE.
Si esto sucede, los controladores y procesadores de datos en el Reino Unido podrían enfrentarse a dos regímenes de protección de datos marcadamente diferentes, además de tener que depender de otros mecanismos para procesar los datos personales de los residentes de la UE, como las cláusulas contractuales estándar (SCC). o BCR (reglas corporativas vinculantes).
Otra legislación entrante a tener en cuenta incluye la Factura de seguridad en líneacuyo objetivo es abordar el contenido dañino en línea.
Próxima legislación de la UE
Mientras tanto, en la UE, también se espera una nueva ola de legislación:
- los Ley de Servicios Digitales y Ley de Mercados Digitalesque “tienen como objetivo crear un espacio digital más seguro donde los derechos fundamentales de los usuarios estén protegidos y establecer condiciones equitativas para las empresas”.
- los Ley de Gobierno de Datoscuyo objetivo es facilitar el intercambio de datos.
- el tan esperado Reglamento de privacidad electrónicaque originalmente estaba destinado a entrar en vigencia junto con el RGPD en 2018, y reemplazará la Directiva de privacidad electrónica de 2002 (la ‘ley de cookies’) y todas las leyes de los estados miembros de la UE basadas en ella.
- los Directiva NIS2 (Seguridad de redes e información)que reemplazará a la Directiva NIS existente, ampliando su alcance “para lograr un alto nivel común de ciberseguridad en todos los estados miembros”.
Mayor acción de aplicación
Acompañando a este nuevo tramo de la legislación europea, esperamos ver un aumento en la aplicación de la ley en toda la UE, continuando la tendencia de una mayor aplicación del RGPD.
En 2021, se emitieron al menos 429 multas en virtud del RGPD de la UE y el RGPD del Reino Unido en el EEE y el Reino Unido, un aumento interanual del 40 %. Tenga en cuenta que no todas las autoridades de protección de datos publican información sobre las medidas que han tomado, por lo que no sabemos sobre todas las multas que se han emitido.
Estas multas ascendieron a más de 1.000 millones de euros (poco más de 900 millones de libras esterlinas), un aumento del 602 % con respecto al valor de las multas de 2020.
La mayoría de las multas del RGPD en 2021 se debieron a infracciones de los artículos 5 (principios de procesamiento de datos), 6 (legalidad del procesamiento), 13 (información que se debe proporcionar a los interesados al recopilar sus datos personales) y 45 (seguridad del procesamiento).
Este enfoque regulatorio en el cumplimiento técnico es un recordatorio oportuno de que los controladores y procesadores no solo deben prepararse para las violaciones de datos, sino que es igualmente importante que puedan demostrar su cumplimiento de la ley.
A medida que nos recuperamos de la pandemia y las autoridades de protección de datos eliminan su acumulación de casos, podemos esperar ver un mayor aumento en la acción regulatoria bajo el RGPD y otras leyes en 2022.
En particular, anticipamos que las transferencias internacionales de datos estarán sujetas a un mayor escrutinio, especialmente para aquellas organizaciones que usan SCC.
La Comisión Europea emitió nuevos SCC en junio de 2021, que deben utilizarse en todos los contratos a partir de diciembre de 2022. Los nuevos SCC se requieren en todos los contratos nuevos a partir de septiembre de 2021.
Otra legislación
El Reino Unido y la UE no son los únicos que introducirán nueva legislación en 2022. Las nuevas leyes de protección de datos en China e India, las leyes federales en los EE. UU. y las revisiones de la Ley de Protección de Información Personal y Documentos Electrónicos de Canadá (PIPEDA) mantendrán el cumplimiento de la protección de datos. a bordo de agendas en todo el mundo, especialmente para aquellas organizaciones que procesan datos personales de diferentes territorios.
Localización de datos
La localización de datos, o residencia de datos, es el requisito legal para que los datos se procesen en países específicos. Por ejemplo, el RGPD de la UE restringe el procesamiento de los datos personales de los residentes de la UE a países fuera de la UE en los que se otorga un nivel adecuado de protección.
Donde esto se vuelve problemático desde el punto de vista del cumplimiento es el uso de servicios en la nube, que a menudo implica transferencias internacionales de datos.
Cumplir con sus obligaciones de cumplimiento, ya sean nuevas o antiguas, requerirá un enfoque renovado en la diligencia debida de la cadena de suministro. Si usted es un controlador de datos, es responsable por ley de las medidas de seguridad aplicadas por cualquier procesador que actúe en su nombre.
Blockchain, AI, el metaverso, etc.
Finalmente, la pregunta de si el uso de libros de contabilidad distribuidos podría cuadrar con el RGPD se ha planteado desde que entró en vigor la regulación, pero a medida que los datos personales se procesan cada vez más en nuevos entornos, blockchain no es la única tecnología que requiere una mayor consideración por parte de un administrador de datos. punto de vista de la protección.
A medida que el aprendizaje automático y la inteligencia artificial (IA) se vuelven más frecuentes, y crecen los entornos virtuales como el metaverso, esperamos que reciban más atención por parte de las autoridades de protección de datos.
Si utiliza estos entornos, sin duda se enfrentará a nuevos desafíos de privacidad y seguridad cibernética y, cada vez más, sus obligaciones de cumplimiento se volverán más onerosas.