Por qué el Escudo de la privacidad es menos relevante para las empresas después del RGPD

Por qué el Escudo de la privacidad es menos relevante para las empresas después del RGPD

El marco del Escudo de privacidad UE-EE. UU . requiere que las organizaciones estadounidenses participantes que se autocertifiquen en el Marco, administrado por el Departamento de Comercio, sigan ciertas pautas para proteger los datos personales de los residentes de la UE. Estas organizaciones autocertificadas deben proporcionar métodos «adecuados» para proteger los datos personales, declaraciones de política de privacidad transparentes y mecanismos para completar las solicitudes de acceso a datos personales de los residentes de la UE y abordar las quejas.

El RGPD proporciona normas más estrictas y exhaustivas para la recopilación, el almacenamiento y el uso de datos personales de la UE, independientemente del país en el que se procesen esos datos y, debido a esto, la relevancia del Escudo de la privacidad ha disminuido.  Las organizaciones de EE. UU. que deseen obtener la autocertificación del Escudo de la privacidad aún pueden hacerlo, pero el marco no proporciona el mismo nivel de protección de datos personales descrito por el RGPD. ¿Qué significa esto para ti? Esta publicación destaca por qué GDPR es el nuevo estándar para la protección de datos personales y ha hecho que Privacy Shield sea menos relevante, así como lo que las empresas pueden hacer para garantizar que cumplan y sigan cumpliendo con GDPR.

UGGE-Pequeño-CTA-Legal

El Escudo de privacidad no proporcionó la privacidad y protección adecuadas de los datos personales:
el caso Facebook-Cambridge Analytica

Privacy Shield ha tenido desde su creación una serie de deficiencias y se ha enfrentado a críticas desde su primera revisión en la UE . El comité de libertades civiles del Parlamento de la UE también declaró que su acuerdo actual no cumple con un nivel adecuado de protección. Esta falta de protección, incluido un puesto de Defensor del Escudo de Privacidad que permanece vacante, se destaca por la reciente violación de datos de Facebook-Cambridge Analytica . Esta brecha comprometió los datos de 87 millones de personas, 2,7 millones de los cuales eran ciudadanos de la UE .

El gigante de las redes sociales se autocertificó como Privacy Shield desde 2016 . El parlamento de la UE ha señalado el caso como un claro ejemplo de por qué EE. UU. debe fortalecer sus leyes de protección de datos personales y por qué la autocertificación no necesariamente conduce a una protección asegurada . Maximillian Schrems, el demandante cuyo fallo en el caso de 2015 invalidó el precursor de Privacy Shield, Safe Harbor, también ha apuntado a Facebook por sus flujos de datos cuestionables bajo lo que Privacy Shield considera adecuado.

Cómo GDPR ha hecho que el Escudo de privacidad sea menos relevante

En un intento por abordar estas deficiencias y mejorar la protección de cualquier persona que envíe datos personales desde dentro de la UE, el Reglamento general de protección de datos (RGPD) de la UE se basa en la Directiva de protección de datos de la UE de 1995. GDPR proporciona el conjunto de reglas más completo para proteger y regular cómo se utilizan los datos personales de la UE.

El Parlamento de la UE ha dejado claro que el RGPD es el nuevo estándar para la protección de datos personales. El 4 de julio de 2018, votó una resolución no vinculante que pedía a la Comisión Europea que suspendiera el Escudo de privacidad a menos que EE. UU. cumpliera plenamente antes del 1 de septiembre de 2018. Sin embargo, EE . no respondió con ninguna medida de represalia. La Ley CLOUD de los Estados Unidos (Aclaración del uso legal de datos en el extranjero) también generó preocupaciones y presentó nuevos obstáculos para el Parlamento Europeo, y señaló que la Ley puede entrar en conflicto con sus leyes de protección de datos personales y violar las libertades civiles en el proceso.

GDPR proporciona pautas de protección de datos personales que abarcan todo, las leyes de datos de EE. UU. son fragmentarias  

Actualmente, la UE está insatisfecha y escéptica con la falta de transparencia de los Estados Unidos con respecto a la protección de datos personales. Sin rodeos, la UE ve la protección de datos personales como un derecho humano y los EE. UU. no. Esta diferencia fundamental es uno de los principales contribuyentes a las diferentes leyes de protección de datos entre los EE. UU. y la UE.

A pesar de que el gobierno de los EE. UU. carece de un plan de protección de datos personales que refleje el RGPD, las organizaciones públicas y privadas en los Estados Unidos deben seguir las pautas del RGPD al recopilar datos personales de cualquier persona dentro de la UE. De lo contrario, corren el riesgo de multas, sanciones o pérdida de confianza entre quienes apoyan a estas organizaciones. Aunque a nivel federal, EE. UU. no tiene un plan similar al RGPD, algunos estados, incluidos   California y Colorado , han promulgado una legislación de seguridad de datos personales similar al RGPD, quizás estableciendo el estándar para que lo emulen más estados.  

Cómo se benefician las empresas al garantizar la protección de datos personales

Las organizaciones deben tener en cuenta los requisitos del RGPD y pueden beneficiarse de la creación de un equipo de revisión interna o un Comité de Gobierno, Riesgo y Cumplimiento (GRC). Estos organismos evalúan los riesgos y brindan soluciones que incluyen la mitigación final del riesgo para garantizar la privacidad y seguridad de los datos personales. Según el RGPD, la mayoría de las empresas privadas y las autoridades públicas deben designar un Oficial de Protección de Datos (DPO) para garantizar que manejen los datos personales de manera adecuada.

Para las organizaciones que operan en la era digital, la confianza es tan valiosa como las transacciones financieras; si los clientes y consumidores no pueden confiar en las empresas a las que apoyan, buscarán productos y servicios en otra parte. Las empresas que se adhieren a las pautas de GDPR están demostrando a los clientes que están comprometidas con la protección de sus datos personales. Las organizaciones pueden hacerlo:

  • Documentar los datos personales recopilados, de dónde provienen y su uso, y usarlos solo para el propósito documentado
  • Revelar a los interesados ​​cómo y por qué se recopilan y procesan sus datos personales
  • Designación de un Delegado de Protección de Datos
  • Ponerse en contacto con las autoridades en un plazo de 72 horas (en caso de que se produzca una infracción)
  • Ofrecer a las personas el derecho al olvido
  • Realizar auditorías internas periódicas y revisar las políticas internas

Conviértase y siga siendo compatible con GDPR

GDPR es la regulación más completa para proporcionar protección de datos personales. A medida que su influencia continúa extendiéndose, es probable que otros países sigan pautas similares; un acuerdo mundial sobre lo que constituye privacidad y seguridad “adecuadas” será el próximo gran paso para la legislación de datos personales.

Velocity Global siempre ha valorado la seguridad de los datos personales de sus clientes globales, y ese compromiso con la seguridad y la privacidad se refleja en nuestro Programa de Gobierno de la Información relevante para el RGPD. Si está considerando expandir su negocio y desea obtener más información sobre este plan, comuníquese con Velocity Global hoy. Nuestro conjunto completo de servicios de expansión global puede ayudarlo a navegar las complejidades de la expansión internacional y garantizar el cumplimiento de las regulaciones locales.