¿Hacia dónde nos dirigimos con las regulaciones de privacidad de datos?

Con 65% de la población mundial espera que sus datos personales estén cubiertos por las normas de privacidad modernas para 2023, respetar la privacidad de los datos nunca ha sido tan crítico. Por ejemplo, la introducción de la ley federal Ley estadounidense de privacidad y protección de datos (ADPPA), junto con la reciente aprobación de un mosaico de leyes de privacidad a nivel estatal, ha hecho que el panorama actual de privacidad de los EE. UU. sea cada vez más complejo. Esto genera desafíos para las organizaciones, tanto en la gestión de volúmenes explosivos de datos como en la comprensión de cómo se les aplican las normas específicas de privacidad de datos.

A medida que las empresas de todos los tamaños intentan mantenerse al tanto de las leyes de privacidad de datos en constante cambio y monitorear de manera proactiva las reglas relevantes, también deben tomar las medidas necesarias para mapear dónde se encuentran los datos de consumidores y empleos, y los riesgos potenciales para esos datos. Al reforzar las defensas de ciberseguridad, las organizaciones pueden estar mejor preparadas para las regulaciones de privacidad de datos, ahora y en el futuro.

Recordemos por qué esto se ha vuelto tan vital. En primer lugar, los consumidores y empleados están más informados que nunca sobre los derechos personales y cómo se les aplican las normas de privacidad de datos. Se trata de un acontecimiento importante y positivo, si se tiene en cuenta el espectacular aumento de la riesgo de multas y litigios por incumplimiento — uno de los fundamentos necesarios para la protección de los derechos individuales.

La convergencia de la información de identificación personal (PII) y la información de salud protegida (PHI) también representa riesgos de datos. Por ejemplo, la información de pago de un reclamo de seguro, junto con una dirección de correo electrónico y otras migas de pan digitales que se encuentran en Internet, se pueden usar para robar identidades o resultar en la filtración de datos. Además, la adopción y la aceptación a largo plazo de modelos de trabajo híbridos pueden generar desafíos. Algunas organizaciones hacen preguntas muy concretas a sus empleados sobre comportamientos y acuerdos de trabajo desde casa para medir la productividad. Dependiendo de las preguntas específicas, podría haber más implicaciones de privacidad.

paisaje de confusión

Dadas las amplias variedades y jurisdicciones de las normas actuales de privacidad y protección de datos, puede haber cierta confusión. Por ejemplo, las empresas estadounidenses ubicadas en Dakota del Norte que realizan negocios a nivel nacional pueden estar algo menos preocupadas por las normas que se aplican en el extranjero. Por el contrario, para las organizaciones de EE. UU. que ofrecen bienes y servicios en el Reino Unido o la UE, es posible que se apliquen regulaciones como el Reglamento general de protección de datos (GDPR), junto con la posibilidad de sanciones si se infringen.

Además, en algunas organizaciones, las ideas preconcebidas relacionadas con el tamaño de la empresa podrían causar problemas normativos o de cumplimiento, como creer que una empresa es demasiado pequeña para que se apliquen las normas de privacidad de datos. Si bien es cierto que la mayoría de las regulaciones más recientes se enfocan en empresas de cierto tamaño, los criterios de tamaño reales pueden relacionarse con una variedad de factores, como la cantidad de empleados o los ingresos anuales. Si las regulaciones de privacidad de datos se aplican o no, también puede depender del volumen de información del consumidor que maneja una organización.

El punto es que cada conjunto de regulaciones tiene matices, por lo que es importante comprender tanto la relevancia como los límites de cada uno. Esto debe monitorearse bajo revisión regular, particularmente a medida que las organizaciones crecen y las regulaciones comienzan a aplicarse donde antes no lo hacían. Por ejemplo, ha habido desarrollos recientes en torno al nuevo marco de privacidad de datos de la UE y el Reino Unido, también conocido como Privacy Shield 2.0, en relación con las actividades de inteligencia.

Una buena regla general es seguir las mejores prácticas lo antes posible, de modo que cuando llegue la necesidad de un cumplimiento formal, todo esté en su lugar. El riesgo de equivocarse es grave, y las organizaciones pueden enfrentar multas masivas por incumplimiento. Eso no dice nada del impacto en la reputación de la marca cuando se revela una violación grave, incluida la pérdida de confianza del consumidor, empleado o inversionista, donde los efectos pueden ser prolongados y dolorosos.

¿Tiempo para las leyes federales?

Regularmente se proponen nuevas leyes de privacidad de datos. Hay cinco estados de EE. UU. que tendrán regulaciones clave que entrarán en vigencia en 2023: California, Virginia, Colorado, Connecticut y Utah. Con el 10% de los estados de EE. UU. cubiertos por la legislación de privacidad de datos para fines del próximo año, está claro que una ley federal sería útil.

En particular, la legislación federal podría desempeñar un papel fundamental en la alineación de EE. UU. con otros países en el tema de la privacidad de datos. También brindaría a los proveedores y usuarios la claridad que tanto necesitan sobre cómo usar, almacenar y administrar datos confidenciales. Esto por sí solo contribuiría en gran medida a aclarar la confusión generalizada que abunda debido al mosaico de regulaciones existente. Si bien el momento exacto de la legislación federal como la ADPPA propuesta no está claro, no se trata de si, sino de cuándo.

En general, los datos y las leyes que rigen su protección existen dentro de un ecosistema regulatorio en rápida evolución. Más cambios, tanto a nivel nacional como internacional, son inevitables. Por lo tanto, las organizaciones deben centrarse en las responsabilidades a corto y largo plazo del manejo y la protección de los datos. No es solo lo correcto desde el punto de vista ético y moral, sino que también representa una toma de decisiones acertada para la salud de la empresa.