Cómo está afectando el RGPD a las empresas y qué esperar en 2023

• El cumplimiento de GDPR es un objetivo en movimiento, pero la guía regulatoria está aclarando las disposiciones de la ley.
• La aplicación del RGPD ha sido lenta, especialmente para las grandes empresas de tecnología y big data.
• Para todas las empresas, especialmente las pequeñas, el cumplimiento de las normas de protección de datos genera lealtad a la marca y confianza con los clientes.
• Este artículo es para propietarios de pequeñas empresas que desean obtener más información sobre las normas de privacidad de datos.

La amplia ley de privacidad de datos de la Unión Europea, el Reglamento General de Protección de Datos (GDPR), hizo que muchas empresas se esforzaran por cumplir antes de su implementación en mayo de 2018. La ley de la UE cubre los datos de los ciudadanos de la UE en cualquier parte del mundo, lo que significa que las empresas a nivel mundial tienen para cumplir o enfrentar multas de hasta 10 millones de euros o el 2 por ciento de su facturación (o ingresos) global anual por infracción (lo que sea mayor).

Ahora, cuatro años después de la implementación del RGPD, el panorama de la privacidad de datos ha cambiado significativamente. Si bien los grandes casos contra los gigantes tecnológicos aún esperan decisiones finales, las empresas más pequeñas han tenido que cambiar sus comportamientos y mejorar el manejo de los datos de los usuarios. Han surgido otras medidas de seguridad y privacidad de datos en todo el mundo, incluidas muchas regulaciones estatales, como la Ley de Privacidad del Consumidor de California (CCPA) y la Ley de Protección de Datos del Consumidor de Virginia (VCDPA).

¿Cómo es el cumplimiento del RGPD?

El RGPD es una ley de 88 páginas que contiene 11 capítulos y 99 artículos, todos los cuales están destinados a mejorar y unificar las prácticas de privacidad de datos con respecto a los datos de los ciudadanos de la UE. No se limita a las fronteras de la UE; cualquier empresa que recopile y/o procese los datos de cualquier ciudadano de la UE debe cumplir con el RGPD. Las empresas de los Estados Unidos que hacen negocios con ciudadanos de la UE están incluidas en el ámbito de aplicación de la ley.

Entre las reglas establecidas por el RGPD para el «controlador de datos» y el «procesador de datos» se encuentran los derechos y libertades otorgados al sujeto de los datos, o a cada usuario individual. Estos incluyen preocupaciones éticas como el derecho del usuario a dar su consentimiento para la recopilación de datos, el derecho de un usuario a solicitar la eliminación de sus datos y el derecho de un usuario a acceder a sus datos. Para responder de manera significativa a estos derechos, muchas empresas tuvieron que implementar sistemas y procesos que antes no existían. Desde 2018, se han realizado esfuerzos para aclarar cláusulas específicas de GDPR, pero quedan algunas preguntas para las empresas que intentan cumplir.

Odia Kagan, socia de Fox Rothschild LLP y presidenta de la práctica internacional de privacidad y cumplimiento de GDPR, dijo que no existe un plan real para el cumplimiento de GDPR. La pregunta con la que deben comenzar las empresas es: «Básicamente, ¿qué significan realmente las reglas para mi negocio?» La respuesta puede ser diferente de una empresa a otra, dijo Kagan.

“Tratamos de comenzar y hacer lo básico para comenzar, porque hay reglas comunes para todos”, dijo. “GDPR no es una instantánea en el tiempo; es un trato continuo. Hay que seguir y seguir reevaluando; es un proceso de cumplimiento continuo. Incluso las empresas que han realizado una buena cantidad de trabajo probablemente aún tengan más que hacer y mantener”.

El RGPD codifica estándares para el procesamiento y la recopilación de datos, creando reglas generales que rigen el uso de los datos de los ciudadanos de la UE incluso fuera de la UE. Esencialmente, dijo Kagan, cada empresa debe comenzar con las siguientes consideraciones cuando trabaje para cumplir con GDPR:

• Divulgación ampliada: las empresas deben ofrecer una descripción clara de qué datos recopilan, por qué los recopilan y cómo los almacenan y procesan. Esto incluye explicaciones sobre con quién se comparten los datos, cuánto tiempo se almacenan y cómo se protegen los datos.
• Control del usuario: las empresas deben otorgar a los usuarios más control sobre lo que sucede con sus datos. Los usuarios tienen derecho a una copia de sus datos, si así lo solicitan. También pueden solicitar que se eliminen sus datos o que se realicen modificaciones en los datos incorrectos. Los usuarios también tienen derecho a dar su consentimiento para que sus datos se compartan con una empresa de terceros para fines distintos a la subcontratación del procesamiento.
• Cumplimiento aguas abajo: cualquier empresa de terceros y proveedores de servicios también deben cumplir con el RGPD; de lo contrario, la empresa que recopila los datos puede ser considerada responsable. En otras palabras, si recopila datos de usuario por libro pero subcontrata el procesamiento a una empresa que no cumple, podría permanecer en el anzuelo por infracciones. Esto incluye la consideración de cookies de terceros y cómo podrían recopilar y rastrear datos generales.

“La complejidad adicional fue que las empresas de la UE ya tenían una gran ventaja inicial”, dijo Kagan. “La Directiva de Protección de Datos tenía leyes nacionales de implementación en los 28 estados de la UE; esto básicamente cubría como el 80 por ciento de [las regulaciones dentro de] GDPR”.

Las mejoras posteriores a la Directiva de protección de datos, como la Directiva de privacidad electrónica de 2002, significaron que la UE está por delante de los EE. UU. en la legislación de protección de datos. Las empresas estadounidenses tuvieron que luchar para ponerse al día durante la implementación de GDPR, y muchos clientes preguntaron si Kagan tenía una lista de verificación que pudieran seguir. Su respuesta fue: “Sí, pero…” no es un programa único para todos. En cambio, dijo Kagan, comenzaron con los requisitos que son comunes a todas las empresas.

Las consecuencias de no cumplir con el RGPD

Las sanciones por no cumplir con el RGPD son potencialmente elevadas: multas de hasta 10 millones de euros o el 2 por ciento de los ingresos anuales globales del año anterior. Para muchas empresas, eso podría suponer un golpe fatal. Si bien las grandes empresas como Marriott, British Airways y H&M se han enfrentado a cuantiosas multas, no está claro si alguna empresa más pequeña se ha retirado como resultado de las regulaciones. El costo de cumplir con las nuevas pautas resultó en la salida de aproximadamente un tercio de las aplicaciones de Android, según un estudio de la Oficina Nacional de Investigación Económica . Para las empresas en los EE. UU. y más allá, mantenerse al tanto del cumplimiento de GDPR es una prioridad y un desafío continuo.

Cuando se trata de garantizar el cumplimiento de cualquier ley general como el RGPD, es aconsejable asociarse con un abogado o consultor que demuestre experiencia y especialización en esa área. Sin embargo, un gran primer paso es simplemente leer la ley, dijo Donovan Buck, vicepresidente de ingeniería de software de BrandExtract.

“Si no sabe por dónde empezar, la ley es realmente fácil de digerir”, dijo Buck. “Es un poco largo, pero está escrito en términos claros que la gente normal puede entender. Y hay un preámbulo… [que] transmite el espíritu de la ley. La ley en sí no da tanto miedo. Lea la ley; No está tan mal.»

Aclaración de las regulaciones de GDPR

Incluso para aquellos que leen la ley, el RGPD dejó muchas preguntas sin respuesta antes (e incluso después) de su implementación en mayo de 2018. Desde entonces, la Junta Europea de Protección de Datos, la autoridad de supervisión general que rige el RGPD, ha emitido aclaraciones. y lineamientos para ayudar a las empresas a garantizar que realmente cumplan con las normas, incluidos los siguientes:

• Divulgación clara y transparente: para obtener el consentimiento explícito de un sujeto de datos , las empresas deben divulgar su recopilación, uso y uso compartido de datos con los usuarios. Eso no solo significa incluir letra pequeña en algún lugar de los términos y condiciones; debe ser explicado claramente en un lenguaje sencillo. De lo contrario, obtener el consentimiento explícito de un sujeto de datos podría no calificar como válido según el RGPD.
• Ámbito territorial: En noviembre de 2019, el Consejo Europeo de Protección de Datos publicó aclaraciones sobre a qué empresas se aplica el RGPD . Las directrices ayudan a aclarar qué constituye un establecimiento o empresa de la UE que se dirige a usuarios dentro de la UE. También considera la necesidad de un mecanismo de cooperación internacional para hacer cumplir el RGPD en empresas fuera de la UE.
• Base legal del procesamiento: en abril de 2019, la Junta Europea de Protección de Datos emitió pautas para la base legal del procesamiento de datos personales bajo el RGPD. Estas pautas aclararon lo que constituía la recopilación de datos necesaria, la terminación de contratos y la aplicabilidad de estas reglas.
• Uso de datos de ubicación y herramientas de rastreo de contactos en el contexto del brote de COVID-19: en abril de 2020, la Junta Europea de Protección de Datos tuvo que responder a algunas de las complicaciones de privacidad de datos provocadas por la pandemia de COVID-19. Sus pautas enfatizaron el principio GDPR de «minimización de datos», enfatizando que solo se deben recopilar datos relevantes para el rastreo de contactos de COVID-19, y no información de identificación o información de ubicación exacta.
• El derecho de acceso: en enero de 2022, el Consejo Europeo de Protección de Datos publicó un borrador de directrices para implementar el derecho de los interesados ​​a acceder a sus datos personales. Los controladores deben interpretar las solicitudes de datos en los términos más amplios en la mayoría de los casos, en lugar de limitar el acceso. Sin embargo, no es necesario que proporcionen a los interesados ​​los documentos completos que contienen sus datos y, en cambio, pueden proporcionar un nuevo documento que contenga solo la información personal del usuario.

Conclusión clave: la Junta Europea de Protección de Datos ha publicado una gran cantidad de pautas, aclaraciones y mejores prácticas actualizadas desde la promulgación del RGPD en 2018. Las principales actualizaciones incluyen información sobre qué empresas están sujetas al RGPD, qué datos del consumidor se considera necesario recopilar y cómo deben hacerlo las empresas. cumplir con las solicitudes de datos.

La aplicación de GDPR está en marcha, pero avanza lentamente

Si bien el RGPD ciertamente ha mejorado la seguridad de los datos al eliminar algunas violaciones graves, la aplicación general está tomando más tiempo de lo que muchas personas esperaban. La información se mueve rápidamente en línea, y el RGPD parece, para muchos, que tiene dificultades para mantenerse al día, especialmente en el caso de grandes empresas tecnológicas de gran alcance como Meta y Google. Por ejemplo, la organización no gubernamental de privacidad de datos noyb (que significa «no es asunto tuyo») presentó una queja por consentimiento forzado contra Instagram, Facebook, Google y WhatsApp el día en que se activó el RGPD. Más de cuatro años después, todavía se está elaborando una resolución.

Sin embargo, ha habido aplicación de la ley. El RGPD ha impuesto 1216 multas, informó Asuntos de privacidad, y en conjunto superan los $2500 millones en multas a diciembre de 2022, según Enforcement Tracker . Eso significa que las empresas deben asegurarse de que están siguiendo las definiciones de los reguladores de los elementos de la ley, como «divulgación» y «consentimiento», no su propia interpretación de estos términos.

Según Enforcement Tracker, las tres mayores multas incluyen 746 millones de euros (alrededor de $790 millones) contra Amazon Europe Core S.à.rl por parte de funcionarios de Luxemburgo en julio de 2021, así como dos grandes sanciones contra Meta en 2022. En septiembre de 2022, Irlanda La Comisión de Protección de Datos multó a Meta Platforms Inc. con 405 millones de euros (unos 430 millones de dólares) y, en noviembre de 2022, golpeó a Meta Platforms Ireland Ltd. con una multa de 265 millones de euros (unos 280 millones de dólares). Los mismos nombres dominan la lista de las multas más altas, con Amazon, Meta (incluidos Facebook y WhatsApp) y Google recibiendo ocho de las 10 multas más grandes.

El fallo de noviembre contra Meta se relaciona con una violación de datos de aproximadamente 533 millones de información personal de usuarios de Facebook, incluidas direcciones de correo electrónico y números de teléfono. Además de pagar la multa, Facebook debe tomar medidas para mejorar la seguridad de los datos de los usuarios y evitar más raspado de datos. El fallo de septiembre contra Meta dijo que Instagram violó las pautas de GDPR para datos de niños, que están bajo protecciones específicas. Instagram permitió a los niños de 13 a 17 años compartir direcciones de correo electrónico y números de teléfono en cuentas comerciales. También hizo públicas las cuentas de los adolescentes por defecto. Meta está apelando el fallo.

«Una gran parte de [muchas] regulaciones es cómo recopilas el consentimiento y cómo informas al consumidor de una manera clara, transparente y obvia [sobre] lo que estás recopilando», dijo Chris Slovak, cofundador y director ejecutivo de Challenger. Interactivo.

Nuevas leyes de privacidad de datos y tendencias de protección de datos que se esperan en 2023

Si bien la responsabilidad de los gigantes tecnológicos avanza lentamente, la actitud general hacia la privacidad de los datos está cambiando. El consumidor promedio se ha vuelto más consciente de las formas en que las empresas recopilan su información, y las preocupaciones sobre la privacidad se han vuelto centrales en las conversaciones sobre tecnología. Sin embargo, incluso las empresas que no se consideran empresas de tecnología deben evaluar las prácticas de datos de sus clientes y asegurarse de que su gestión de datos sea segura.

El RGPD fue solo el «catalizador» de un maremoto de leyes globales de protección de datos, dijo Slovak, y las empresas deberían monitorear desarrollos similares en todo el mundo.

Por ejemplo, California, Virginia, Utah, Colorado y Connecticut están implementando nuevas leyes de privacidad de datos o actualizando las leyes existentes. Otras naciones, como Corea del Sur y China, también están aprobando nuevas regulaciones sobre seguridad de datos.

Las próximas leyes y regulaciones de protección de datos en los Estados Unidos enfatizan los derechos de exclusión del consumidor y la preferencia de privacidad, según el bufete de abogados Thompson Hine . Para cumplir, las empresas en línea deben asegurarse de que sus sitios web brinden a los clientes una forma clara y aprobada de optar por no compartir o vender su información personal. Eso podría significar un enlace de «no vender ni compartir mi información personal» y/o «limitar el uso de mi información personal confidencial».

Estos son solo algunos ejemplos de las próximas pautas diseñadas para ofrecer a los consumidores más transparencia y control. En 2023, puede esperar muchas más pautas en torno a la comunicación con los clientes sobre sus derechos a la privacidad de los datos.

“Esto no es exclusivo de los ciudadanos de la UE y California”, dijo Slovak. “Es una tendencia que va a barrer el mundo. Avance invirtiendo en los flujos de datos que tiene hoy”.

Consejos para el cumplimiento del RGPD y la protección de datos

El cumplimiento de una ley que lo abarca todo, como el RGPD, puede parecer imposible, pero si da un paso a la vez, su empresa pronto estará en el camino del cumplimiento. Para mantenerse motivado, recuerde que el cumplimiento total no tiene que ser el objetivo; incluso mostrar un esfuerzo podría ser suficiente para mantener a raya a los reguladores.

“A las empresas que han seguido un camino y han trabajado con los reguladores… se les han cerrado casos o se les han reducido las multas”, dijo Kagan. “Necesitas un plan. Realice una evaluación de riesgos, descubra las partes más riesgosas de su procesamiento y comience a trabajar con ellas. Estar en un camino”.

Siga estos consejos para empezar:

• No entrar en pánico. Las leyes de protección de datos son complejas y de amplio alcance. Puede ser abrumador para las empresas, especialmente para las pequeñas y medianas empresas, administrarlo. Sin embargo, es importante dividir el proceso en partes manejables para que pueda realizar una pequeña tarea a la vez. Piense en ello como un avance hacia el cumplimiento, en lugar de tacharlo de la lista de una sola vez.
• Realice una evaluación de riesgos. Un excelente lugar para comenzar, según Kagan, es realizar una evaluación de riesgos. Utilice esta evaluación para identificar las áreas de mayor riesgo para su empresa en las que podría estar infringiendo las normas o siendo vulnerable a una filtración de datos.
• Comience con los componentes más riesgosos. Una vez que tenga una comprensión integral de los perfiles de riesgo de cada elemento de su operación de recopilación de datos, puede determinar qué partes abordar primero. Comience siempre con los elementos más riesgosos de su empresa. Por ejemplo, si le falta seguridad, refuerce sus defensas para evitar filtraciones de datos. Si no está obteniendo el consentimiento de los consumidores para capturar y usar sus datos, implemente un método para obtener ese consentimiento. Trabajar con un consultor de cumplimiento de GDPR puede ayudarlo a comprender el riesgo con mayor claridad.
• Comprenda los datos y por qué los recopila. Una gran parte de la legislación de privacidad de datos y GDPR en los Estados Unidos es que las empresas deben tener una imagen completa de los datos que recopilan y por qué los recopilan. Previa solicitud, los consumidores deben recibir una copia de sus datos y las empresas deben poder editarlos o eliminarlos. Es imperativo que su empresa comprenda qué datos recopila, cómo se almacenan, dónde se comparten y por qué se utilizan. La falta de desarrollo de una comprensión completa hace que el cumplimiento de las leyes de protección de datos sea prácticamente imposible.
• Establecer un programa de gobierno formal. Una vez que haya desarrollado un proceso interno para cumplir (o al menos trabajar para cumplir) con las leyes de protección de datos, establecer un programa de gobierno formal lo ayudará a demostrar esos esfuerzos a los reguladores. Un programa de gobierno formal puede estructurar con precisión cómo se capturan, almacenan, comparten y utilizan los datos. Esto es especialmente importante para las grandes empresas, dijo Kagan, pero las pequeñas y medianas empresas también podrían beneficiarse de formalizar su gobierno de datos. Esto podría incluir el nombramiento de un oficial de protección de datos para supervisar la recopilación y el procesamiento de datos diarios para garantizar que esté en línea con las reglas de GDPR.

El cumplimiento del RGPD, la CCPA y otras leyes de privacidad de datos es un proceso continuo. Si bien cada pieza de legislación que se ha aprobado o propuesto tiene diferentes requisitos, los objetivos básicos son los mismos. Desde la gestión adecuada del procesamiento de datos personales hasta la prevención de infracciones, se espera que las empresas hagan muchas cosas. Eso significa que puede comenzar a trabajar para lograr el cumplimiento sin conocer todos los detalles o tener todas las aclaraciones de los reguladores, dijo Kagan.

“No es demasiado tarde para cumplir”, dijo. “Ignora el hecho de que tu fregadero está lleno de platos. No lo evite y lo deje para mañana, simplemente comience”.

Al implementar y seguir las mejores prácticas, puede reducir el riesgo de infringir las leyes de privacidad de datos y, en el peor de los casos, demostrar a los reguladores que ha realizado un esfuerzo de buena fe para proteger los datos de los consumidores. Más allá del cumplimiento, existen razones comerciales convincentes para adherirse a las mejores prácticas establecidas en las regulaciones de protección de datos, dijo Slovak.

“Si lo haces bien, obtienes auditabilidad y transparencia”, dijo. “Puede decirles a sus clientes qué datos tiene ya dónde los está enviando. Si lo hace bien, tendrá mejores conversaciones con sus clientes porque comprenderá mejor lo que quieren en el momento en que hable con ellos”.

Proteger la privacidad de los datos del consumidor es un buen sentido comercial y lo ayuda a construir una marca confiable, agregó. La preparación de GDPR es una buena manera de comenzar a cambiar para poner la protección de datos del consumidor en primer lugar.

“Al final del día, los datos son algo que se te confía”, dijo Slovak. “Un consumidor te está confiando información sobre sí mismo para que puedas crear mejores experiencias y servicios para él. Esta es una oportunidad para reevaluar cómo trata a sus clientes actuales y potenciales. Requiere una forma diferente de pensar y una inversión en datos y las herramientas para administrar los datos en sí”.

Para mantenerse a la vanguardia de la curva regulatoria y comenzar a construir mejores relaciones con sus clientes, puede comenzar invirtiendo en su infraestructura y gobierno de datos.

Cailin Potami contribuyó a la redacción y el reportaje de este artículo. Se realizaron algunas entrevistas a fuentes para una versión anterior de este artículo.