El Reglamento General de Protección de Datos de la Unión Europea, mejor conocido como GDPR, estipula controles estrictos para las compañías que manejan los datos de los consumidores de los residentes de la UE. Esas reglas presentan desafíos para las empresas estadounidenses que hacen negocios en el extranjero, y ahora comienzan a surgir los esfuerzos para adoptar controles similares en los Estados Unidos.

ES IMPORTANTE TENER EN CUENTA QUE LA MULTA A GOOGLE FUE IMPUESTA, AUNQUE NO HUBO FILTRACIÓN DE DATOS PERSONALES.

Una multa de $ 57 millones impuesta por los reguladores franceses a Google en enero de 2019, entre otras sanciones recientes del GDPR, confirma la urgencia de cumplimiento. El GDPR cambia las reglas de privacidad de datos para todas las compañías que transmiten, procesan o retienen datos pertenecientes a residentes de la UE, independientemente de si esas compañías tienen operaciones físicas en la UE. Las empresas de Estados Unidos deben navegar por la complejidad de la regulación, a la vez que vigilar las normativas de privacidad de datos globales y de Estados Unidos.

Estas multas tienen un efecto comercial dominó que no se debe subestimar. Las empresas estadounidenses están empezando a descubrir que las empresas europeas con las que se asocian exigen cada vez más el cumplimiento de GDPR, por temor a que estén sujetas a estas multas, y están llevando sus negocios a otros lugares si no se cumple.

Comienza la aplicación de GDPR

El GDPR entró en vigor el 25 de mayo de 2018, con las primeras quejas presentadas el día en que la ley entró en vigor. En los meses intermedios, la primera ola de acciones de cumplimiento cubrió una amplia gama de violaciones. La sanción de Google impuesta por la CNIL, la autoridad francesa de protección de datos es la sanción más importante hasta la fecha, y envía una clara señal de que losreguladores de la UE están tomando en serio el cumplimiento.

Es importante tener en cuenta que la multa en Google se impuso a pesar de que no se produjo ninguna violación de datos para exponer datos personales. La CNIL multó al gigante tecnológico por su falta de transparencia en la recolección y el procesamiento de datos, y por no obtener adecuadamente el consentimiento para la personalización de los anuncios.

Si bien el ejemplo de Google ilustra cómo las multas fuertes pueden ser provocadas por el incumplimiento con el GDPR, las multas más pequeñas ilustran el alcance total de la aplicación de la ley. Por ejemplo:

  • La autoridad de protección de datos de Austria multó a un establecimiento minorista con 4.800 euros debido a que su cámara de vigilancia captó demasiada información de una acera.
  • Un hospital en Portugal fue multado con 400,000 euros por manejar información de pacientes de manera inapropiada.
  • Una plataforma de chat alemana fue multada con 20,000 euros por una violación de las contraseñas de los usuarios.

Si bien estas violaciones y multas varían, contienen pistas sobre las futuras acciones de cumplimiento. Por ejemplo, la autoridad de supervisión de cada país tiene una flexibilidad significativa en la forma en que se interpreta estrictamente la ley y en cuáles deberían ser las sanciones por incumplimiento.

CON LA PRESIÓN PÚBLICA AUMENTANDO SOBRE CÓMO LAS EMPRESAS RECOGEN Y MANEJAN DATOS, LAS DISCUSIONES SOBRE LAS REGLAMENTACIONES FEDERALES AMPLIADAS DE PRIVACIDAD HAN EMPEZADO 

Quizás lo más importante es que estas multas demuestran que las compañías que cooperaron con los reguladores y mostraron progreso hacia el cumplimiento fueron tratadas indulgentemente.

El GDPR es una ley extensa y, al menos en esta etapa temprana de implementación y cumplimiento, algunos reguladores parecen estar mirando favorablemente a las compañías que demuestran un esfuerzo serio de cumplimiento de GDPR, como muestra el ejemplo alemán.

Enfoque en los residentes, no en las operaciones

Con el aumento de la presión pública sobre la forma en que las empresas recopilan y administran los datos, se iniciaron las discusiones sobre las regulaciones federales de privacidad ampliadas. Es sólo una cuestión de tiempo antes de que se desarrollen leyes de privacidad de datos más extensas en los Estados Unidos a nivel federal, y una preparación efectiva es clave para proteger los datos de los clientes y evitar posibles sanciones. Si su empresa tiene operaciones en Europa, estas multas son un recordatorio del impacto directo que el GDPR puede tener en su organización. Sin embargo, incluso si no tiene presencia en Europa, la privacidad de los datos se ha convertido en un problema global que afecta a todas las empresas, lo que requiere un análisis más detallado de cómo se recopilan y administran los datos personales.

Las reglas de GDPR también se aplican a las empresas con sede en los Estados Unidos con clientes europeos, ya que el enfoque de la ley se centra en la ubicación de la persona, no en la de la empresa. Por lo tanto, es probable que sean necesarios controles y salvaguardas adicionales para proteger adecuadamente los datos de residentes de la UE y cumplir con las normas GDPR.

Nueva legislación de privacidad de datos de Estados Unidos

La ley de privacidad de datos ha trascendido más allá de Europa y está directamente en la mira de algunos reguladores estatales, con posibles leyes federales en el horizonte. La Ley de Privacidad del Consumidor de California se convirtió en ley en junio de 2018 y crea nuevos requisitos para la protección de la información personal de los residentes de California. Si bien la ley no está programada para entrar en vigor hasta principios de 2020, algunos otros estados, como Massachusetts y Texas, ya cuentan con cierto nivel de protección de la privacidad de los datos.

(Por favor visite GDPR and beyond: The impact of initial sanctions and new regulations (GDPR y más: el impacto de las sanciones iniciales y las nuevas regulaciones ) para ver una versión ampliada de este artículo, y más detalles sobre cómo puede preparar a su empresa para el cumplimiento de GDPR).