Los llamados a una legislación federal junto con la orden ejecutiva de inteligencia artificial (IA) del presidente estadounidense Joe Biden y unos 12 regímenes diferentes solo en el país resaltan un entorno regulatorio global sobre privacidad de datos que seguirá siendo una especie de mezcolanza.
Siguen surgiendo diferentes regímenes dentro y entre diferentes países, y la racionalización o el consenso a nivel mundial es muy poco probable, dice Alex Hazell, jefe de privacidad y asuntos legales del Reino Unido en el proveedor de plataformas de marketing en la nube Acxiom, y las organizaciones deben prestar mucha atención.
“Lograr el pleno cumplimiento es extremadamente desafiante y complejo”, afirma. “Sólo hay que mirar Amazon Web Services’ [AWS’s] conjunto de documentos para la transferencia y el procesamiento del Reglamento General de Protección de Datos (GDPR): muchos documentos que contienen enlaces a otros documentos, etc., etc.
Para 2021, según la ONU, al menos 137 países tenían legislación vigente.
Hacer coincidir prácticas, políticas y regulaciones específicas puede significar un compromiso más profundo con abogados y profesionales de cumplimiento para desenterrar detalles sobre los dos enfoques principales, algo que probablemente no sea música para los oídos de las empresas.
“Se puede recurrir al estándar legal más alto y apegarse a él como medida de cumplimiento interno”, dice Hazell. “El problema al hacer eso es que se pierde ventaja competitiva en aquellos países con un enfoque más flexible. O puedes cumplir con el estándar legal de cada país”.
Este último enfoque puede ser la única opción siempre y cuando las normas jurídicas de una jurisdicción pertinente difieran radicalmente de otra, especialmente cuando las diferencias dependen de filosofías, políticas y “juicios de valor” nacionales. Por supuesto, esto también puede hacer que el cumplimiento no sólo sea más costoso y complicado, sino incluso prohibitivo para las empresas más pequeñas o las nuevas empresas.
Enfoque basado en el riesgo
Sin embargo, agrega que la “realidad sobre el terreno” es que las organizaciones a veces adoptan un enfoque basado en el riesgo no sólo en la forma en que hacen negocios, sino también en aspectos de cumplimiento, especialmente cuando hay áreas grises o “indecisas”.
“Si, por ejemplo, una ley rara vez se aplica y es ampliamente ignorada (lo que se conoce como ‘mala ley’), algunos pueden, por así decirlo, seguir a la multitud, asumiendo seguridad en la unión”, dice Hazell.
“Una empresa puede tener una opinión diferente y otra. Mientras eso sea razonable, sin verificación judicial, las organizaciones seguirán jugando en esa zona gris”.
En el Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE), por ejemplo, se está sentando un precedente judicial, pero todavía hay algunas áreas en las que la práctica podría estar indecisa, incluso antes de empezar a pensar en una nueva ley de la UE, como la Ley Digital. Ley de Servicios Públicos, donde aún no existe ningún precedente judicial.
¿Se arriesgan las organizaciones a recibir una “megamulta”, como la penalización porcentual máxima del RGPD sobre la facturación global, o simplemente un golpe informal en los nudillos? ¿Cuál es la probabilidad de que se produzca una demanda colectiva, por ejemplo, a raíz de una sanción de un regulador?
Al desarrollar su régimen de cumplimiento, considere también la posibilidad de causar problemas. “Ponga al individuo en el centro de todas las consideraciones de política interna”, dice Hazell. “¿Existe un daño real que podría ser causado por una parte del procesamiento y, de ser así, cuáles son las mitigaciones que se deben implementar?”
Jonathan Joseph, jefe de soluciones de la empresa de software de privacidad de datos Ketch, está de acuerdo en términos generales, pero sostiene que la privacidad de los datos debería reconocerse formalmente en todo el mundo de alguna manera, aunque sólo se describa en un enfoque del tipo de una declaración de derechos humanos, como contrapeso a la absoluta ritmo de innovación tecnológica.
La difusión de IA y ML aumenta las apuestas
Si bien la IA tiene propósitos válidos y útiles, el uso de tantos datos puede representar una amenaza para las personas, incluida su privacidad. “Deberíamos reconocer que las personas tienen derechos sobre los datos”, dice Joseph.
La regulación suele ponerse al día con la innovación tecnológica. En lugar de paralizar la innovación, las jurisdicciones deberían actuar más rápidamente en este sentido, dando a las organizaciones y otras entidades una oportunidad real de planificar y abordar cualquier problema, afirma.
“Si se reconociera a nivel mundial el derecho a la privacidad de los datos, entonces simplemente dejemos que los países, como entidades soberanas, decidan por sí mismos los detalles de su jurisdicción”, dice Joseph. “En Europa, ¿se guardan los datos de los ciudadanos europeos en nubes europeas, por ejemplo?”
El RGPD “abrió la puerta” a la privacidad, señala, pero “existen grietas en el [opt-in consent] modelo”. ¿Cómo puede ser realmente significativo suscribirse, dadas las múltiples páginas de jerga legal que normalmente acompañan a las suscripciones y los términos y condiciones para el software nuevo o actualizado?
Un análisis encontró que los términos y condiciones de las aplicaciones en “un teléfono promedio” pueden tardar 17 horas en leerse si se imprimen, lo que destaca la necesidad de repensar “todos estos principios”.
“La fatiga del usuario es real”, afirma Joseph. “¿Eso es consentimiento informado? Tiene que haber una opción real para decir no”.
Sophie Stalla-Bourdillon, asesora senior de privacidad e ingeniera legal de la empresa global de seguridad de datos Immuta, dice que los principios de manejo y gestión de datos en apoyo de la privacidad aún deben centrarse en cuestiones que incluyen el daño por mutación de los datos, la limitación del almacenamiento, la precisión y la calidad de los datos, combinados con más estrechamente con la práctica.
“Si eres constructivo y de mente abierta, deberías descubrir controles para estos principios”, dice. “Si trabajas con una lista bastante exhaustiva de principios como el RGPD, entonces deberías estar en una muy buena posición para cumplir con más de una ley”.
Los reguladores necesitan recursos para dedicar más tiempo a los problemas, buscando cómo acomodar un enfoque basado en el riesgo que se alinee con los principios actuales de derechos humanos, con puntos de vista a nivel internacional que se alejan del “tradicional” libre comercio, sin restricciones y flujos libres. de posición de datos.
Esto parece “un paso en la dirección correcta” porque lo que se decide puede tener consecuencias cruciales, dice Stalla-Bourdillon, por lo que las agencias federales necesitan un enfoque incluso si no existe una obligación legal. El RGPD sigue siendo “una forma” de abordar la privacidad y la protección de los datos, y los derechos de identidad y los derechos de propiedad intelectual pueden surgir para abordar los riesgos que plantean la IA y los grandes modelos lingüísticos.
Sea transparente con los datos
Y añade: “Es importante que ahora los equipos hablen entre sí. Ser transparentes sobre sus propias prácticas, comenzar a crear una imagen fiel de las actividades de compras dentro de la organización y luego al conjunto de tecnologías.
“En la práctica, lo que se desea son flujos de datos y datos centralizados, lagos, etc., pero se necesitan soluciones tanto para la gobernanza como para los requisitos técnicos”, afirma Stalla-Bourdillon. “Y, de hecho, a menudo la tecnología no permite la transparencia en los flujos de datos”.
Rick Goud, director de información y cofundador del proveedor de seguridad de transferencia de archivos y correo electrónico Zivver, confirma que el cumplimiento puede convertirse en “un desastre total”, especialmente para las organizaciones que trabajan con diferentes requisitos. Las altas esferas ya están pasando apuros, incluso con esa capacidad de recurrir al estricto régimen europeo.
“Esperemos una variación o una ampliación de lo que tenemos en lugar de algo totalmente nuevo, porque entonces será realmente un desafío”, dice Goud. “Afortunadamente, cuando tienes una conversación basada en el contenido, puedes ver muchos puntos en común y comprensión de la posición de cada uno”.
Sostiene que hacer tecnología extremadamente segura y centrada en la privacidad no es en sí mismo un problema, y los conflictos típicos, si los hay, se relacionan más con el equilibrio entre proteger la privacidad de alguien y gestionar la privacidad en la práctica. Los proveedores pueden tener aquí un conflicto de intereses, señala, ya que los modelos de negocio de las “grandes tecnologías” a menudo dependen del acceso a los datos “por su propia voluntad”.
“Para mí, la legislación debería centrarse en lo que se permite almacenar en nombre de los usuarios y en cómo se pueden utilizar los elementos almacenados”, afirma Goud, y añade que una de las principales causas de las filtraciones de datos sigue siendo la desviación de los correos electrónicos. “Los informes de los medios hablan de piratería informática, malware o ransomware, porque eso es más sexy”.