Los gobiernos han aprendido algunas lecciones del RGPD y tienen algunos trucos bajo la manga, le dice Kieran McCorry de Microsoft a Niall Kitson.
La vida
Desde mediados de los años noventa, Europa y Estados Unidos han divergido en cuanto a cómo manejar los datos personales. Por parte de la UE, la opinión era que los usuarios deberían tener control sobre cómo almacenar y procesar los datos que han creado. Estados Unidos adoptó la opinión contraria de que los datos de los usuarios son propietarios de la plataforma en la que se generan.
Desde Safe Harbor hasta el Escudo de Privacidad y el actual Marco de Privacidad UE-EE.UU., los acuerdos transfronterizos sobre el acceso y el uso de datos personales han estado plagados de complejidades. Esto no se ilustra mejor que el Reglamento General de Protección de Datos (GDPR), un paso en falso ideológico que impone a las empresas la responsabilidad de proteger a sus usuarios o enfrentar fuertes multas de hasta el 4% del tráfico global.
La respuesta transatlántica es una mezcla de ira e introspección. Se están aprendiendo lecciones y, en el caso de la Ley de Privacidad del Consumidor y la Ley de Eliminación de California, hay margen para encontrar formas de facilitar aún más a los consumidores estadounidenses el control de sus datos.
El responsable nacional de tecnología de Microsoft para Irlanda, Kieran McCorry, sabe todo sobre el fútbol político de la privacidad del usuario. Sostiene que si bien la idea de territorios físicos es un concepto arcaico en el ámbito digital, la necesidad de marcos legales en el mundo real persiste.
«La UE hace un fuerte énfasis en la privacidad en términos de derechos y libertades fundamentales y esto se refleja en la Declaración Universal de Derechos Humanos (DUDH), el Convenio Europeo de Derechos Humanos y, más recientemente, la Carta de Libertades Fundamentales de la Unión Europea. Unión Europea. Estos dos últimos muestran un derecho muy claro a la privacidad de los ciudadanos de la UE», afirma. «Estados Unidos se preocupa menos de los derechos fundamentales y más de proteger sectores, por ejemplo, la atención sanitaria o los servicios financieros. Lo que les falta es un derecho básico a la privacidad en el que se basa el RGPD y que es responsable de la tensión entre instituciones como la UE. «
McCorry está entusiasmado de que California, un estado que depende del sector tecnológico, esté a la vanguardia de los esfuerzos para alinear a Estados Unidos con el RGPD o algo similar. La Ley de Privacidad del Consumidor (CPA) de California podría ser un modelo de cómo podría funcionar el equivalente estadounidense del GDPR y tiene una contraparte poco probable en el sector tecnológico.
«El sector tecnológico es en parte responsable de impulsar la CPA», afirma. «Al igual que el RGPD, se centra en garantizar que exista una protección y un consentimiento adecuados para el procesamiento y uso de datos. No se pueden simplemente recopilar datos y utilizarlos para sus propios fines sin consentimiento o una base legal. Eso es lo que proporciona la CPA y un conjunto de acciones en caso de que sus datos sean tratados de forma incorrecta o inapropiada.»
Un área en la que California definitivamente va más allá del RGPD es con la Ley de Eliminación, donde los usuarios pueden tener una ventanilla única para eliminar su presencia en línea. Si bien este derecho ya existe en la UE, no existe una manera fácil de eliminar información inexacta, irrelevante o incorrecta. McCorry dice que la idea es buena pero la ejecución está plagada de problemas.
«Si no hay ningún motivo para que alguna entidad conserve mis datos o si retiro mi consentimiento para utilizar esa entidad, entonces deberían eliminarse», afirma. «Esto incluye el concepto de rectificación de datos inexactos, pero debe eliminarse si retira su consentimiento para que se almacenen esos datos. Sin embargo, existen excepciones, por ejemplo, si una organización debe hacerlo por alguna razón legal o reglamentaria. . Ese concepto es nuevo en los Estados Unidos, pero se ha establecido desde hace mucho tiempo en la legislación de la UE a través de la directiva del RGPD de 1995. Eso no significa que sea perfecto. Suena bastante simple: los datos de la Entidad A en «En términos de la Persona B que quiere eliminar esos datos, uno pensaría ‘bueno, puedo simplemente enviar la solicitud y eliminarla’, pero generalmente es muy difícil de implementar para las organizaciones».
McCorry dice que es un problema que abarca desde pequeñas oficinas con un mal sistema de archivo hasta multinacionales donde todo se distribuye globalmente.
«Ha habido una serie de casos interesantes desde que GDPR entró en línea; el más importante fue Google contra la Autoridad de Protección de Datos de Francia, donde alguien dijo ‘mis datos están siendo capturados en un motor de búsqueda y están indexados, así que quiero que se eliminen’. … Google tuvo dificultades para implementar estas cosas», señala.