Protección de Datos en EEUU vs GDPR en la Unión Europea

Pablo Herrera

Por Nathan Reem

En la era digital contamos con grandes problemas de privacidad y amenazas cibernéticas que es necesario abordar. Las empresas y las grandes corporaciones se han visto afectadas por nuevas amenazas y posibles fugas de información personal de los empleados. La protección de los datos personales y que las políticas comerciales sepan gestionar su identidad e información personal pueden ser bastante complicado y difícil de aplicar en la práctica.

En el verano de 2018, la UE aprobó un nuevo proyecto de ley denominado Reglamento General de Protección de Datos (GDPR). El Reglamento General de Protección de Datos es un nuevo conjunto de obligaciones que deben cumplir las empresas (de todos los tamaños). La nueva reforma y el marco tiene efecto en las corporaciones en todos los estados miembros y puede incluso aplicarse a empresas de toda Europa que hacen negocios con empresas de la Unión. En Estados Unidos, por otro lado, aún se debe adoptar algo similar, especialmente después del escándalo de Data Cambridge Analytica.

Regulación de datos en Estados Unidos

En contraste con la forma en que la Unión Europea ha manejado la protección de datos con un proyecto de ley integral, Estados Unidos han dividido su regulación en muchas leyes de protección de datos específicas para cada sector. Estas regulaciones de la privacidad de datos personales funcionan en conjunto con la legislación estatal como una guía sobre el tratamiento de los datos de los ciudadanos estadounidenses. Algunas de estas normativas sobre datos incluyen:

1. Ley de Responsabilidad y Portabilidad de los Seguros de Salud

 Opera con 4 propósitos principales: el objetivo principal es hacer que sea más fácil para las personas mantener un seguro de salud y proteger la información de salud de las mismas. Ofrece seguridad de registros electrónicos, simplificación administrativa y flexibilidad de seguros.

2. NIST 800-171

El Instituto Nacional de Estándares y Tecnología publicó un informe que intenta obtener información no clasificada controlada en sistemas y organizaciones de información no federal.

3. Ley Gramm-Leich-Bliley

Requiere que las instituciones financieras ofrezcan a sus clientes la posibilidad de optar entre aceptar o rechazar que su información confidencial sea compartida y accesible. Esta ley requería una protección de privacidad limitada contra las ventas de datos personales, que pueden resultar fraudulentas en muchas ocasiones. La ley solo se aplica a las instituciones financieras que ofrecen préstamos de consumo, asesoría financiera o de inversiones o seguros.

4. La Ley Federal de Modernización de la Seguridad de la Información de 2014

El proyecto de ley actualiza las prácticas de ciberseguridad del Gobierno Federal a partir de un proyecto de ley anterior aprobado en 2002. Algunas de las cosas que regula son las políticas de seguridad de la información de promulgación para las agencias civiles del Poder Ejecutivo federal, así como de ayudar a la Oficina de Administración y Presupuesto a crear esas políticas.

5. Ley de Protección de la Privacidad Online para Niños (COPPA)

Un niño, según Estados Unidos, es un ciudadano menor de 13 años. Es decir, con COPPA, los sitios web deben cumplir con la Comisión Federal de Comercio cuando recopilan información personal de niños menores de dicha edad.

La Comisión Federal de Comercio (FTC) es la agencia federal que hace cumplir la política de privacidad de EE. UU. Una de sus principales fortalezas es su poder para actuar y "derribar" legalmente las prácticas desleales e insidiosas contraídas por una gran variedad de compañías. Por ejemplo, esta agencia gubernamental independiente multa las infracciones cometidas que se presentan en relación con estafas, prácticas monopólicas y publicidad fraudulenta. Aun así, tiene complicaciones debido a sus propias limitaciones, así como la amplia gama de problemas relacionados con la variedad de regulaciones de protección de datos (Andrada Coos, 2018).

Problemas con las leyes de regulación de datos de EE. UU.

Algunos estados han adoptado una ley de notificación de violación de seguridad, pero la mayoría no lo hace. Este es uno de los principales problemas que enfrenta Estados Unidos en su legislación de protección de datos en Estados Unidos (Andrada Coos, 2018).

De acuerdo con Derek Hawkins (2018), debido a las muchas leyes y en los diferentes niveles en que se encuentran, encontramos algunas que funcionan de manera similar al GDPR, mientras que otras no. Se observa una gran disfunción y confusión entre todas estas regulaciones que coexisten unas con otras. La privacidad en la legislación de los Estados Unidos ni siquiera aparece en muchas ocasiones.

La Comisión Federal de Comercio es lo más cercano que tiene EE.UU. a la GDPR europea, pero sus poderes son bastante escasos en comparación con la ley de la Unión Europea. La FTC no puede castigar a los infractores sino solo denunciarlo, mientras que el GDPR cuenta con sanciones directas sobre las empresas cuando cometen una infracción. Además, la FTC no puede supervisar diferentes empresas y organizaciones como los bancos o las entidades sin ánimo de lucro.

Muchos problemas surgen de aquí, ya que el sistema judicial es el único que puede castigar a estas empresas, lo que hace que sea una larga y ardua espera antes de aplicar cualquier castigo. Como resultado, muchas empresas pueden encontrar formas de escapar a la legislación, aunque no tengan el consentimiento de un empleado o ciudadano (INC, sin fecha).

Datos del escándalo de Cambridge Anayltica

Cambridge Analytica, fundada por Stephen Bannon (ex jefe de personal de Trump) y Robert Mercer, fue una consultora política en el Reino Unido que integró diversos datos de información y análisis con la comunicación estratégica durante el proceso electoral de las últimas elecciones presidenciales de Estados Unidos. El escándalo fue producto de un proceso largo y arduo que se extendió a lo largo de varios años. Según Steve Meredith (2018) de CNBC News, todo comenzó en 2013, cuando un académico de Cambridge llamado Aleksandr Kogan creó una aplicación llamada "thisisyourdigitallife", en la que la aplicación incitaba a los usuarios a responder preguntas para un perfil psicológico. Se estima que alrededor de 300 000 tomaron la prueba psicológica, tras lo cual la aplicación recopiló sus datos personales. De ahí también tomó los datos de las personas que eran amigos de los que habían realizado la prueba en Facebook, con lo que Cambridge Anayltica tuvo acceso a los datos de millones de perfiles de esta red social.

En 2014, Facebook implementó una serie de cambios en las reglas para proteger los datos personales de las personas y limitó el acceso de terceros a los datos de los amigos de un usuario sin el permiso de los mismos. Los cambios en estas reglas no se pudieron imponer y Cambridge Analytica siguió accediendo sin consentimiento a la información personal de las personas a través de Facebook. En 2016, la campaña de Trump comenzó a invertir en anuncios de Facebook, con la ayuda de Cambridge Anaylitica (Steve Meredith, 2018).

Cambridge Anayltica había comprado datos de Facebook de 50 millones de perfiles de Facebook sin su conocimiento o consentimiento para dirigirse a los votantes de EE. UU. individualmente y ofrecerles anuncios políticos personales (The Guardian, 2018).

¿Cómo se usaron los datos individuales?

Kogan, el creador de la aplicación de "thisisyourdigitallife", dio los datos que obtuvo de su aplicación a Cambridge Anayltica, fundada por el donante republicano Robert Mercer. El programa de Kogan fue financiado con aproximadamente 7 millones más.

Después de que Cambridge Anayltica obtuviese la información de la aplicación, los datos de millones de usuarios se construyeron y combinaron con otros registros para construir perfiles de personalidad en millones de votantes estadounidenses. Usando técnicas de modelado psicográfico, su objetivo era identificar quiénes eran estos votantes estadounidenses e influir en su comportamiento a través de anuncios en las redes sociales (Stephanie Borg Psaila, 2018, DigitalWatch).

En marzo de 2018, un ex empleado de Cambridge Anayltica, Christopher Wylie, informó a The Observer y al New York Times que la compañía usó información personal tomada sin consentimiento en 2014 y la utilizó para construir un sistema que perfilaba a votantes individuales de los Estados Unidos. También afirmó que sus intenciones eran apuntar a estos votantes con pruebas de personalidad, para ofrecerles anuncios políticos personalizados. Facebook finalmente confirmó esta información en una declaración judicial, señalando que la información importante se había tomado en gran escala.

Como resultado, la compañía de medios sociales no alertó a sus perfiles, sino que tomó algunas medidas para recuperar y asegurar la información privada robada de sus 50 millones de usuarios (The Guardian, 2018).

Repercusiones de Cambridge y acciones adicionales sobre las leyes de privacidad de EE. UU.

En los Estados Unidos de hoy, el Congreso y la política están más estancados que nunca. Los conflictos políticos y las turbulencias entre republicanos y demócratas están más hostiles que en ningún otro momento. Aprobar un simple proyecto de ley en el Congreso es un gran desafío. Solo el hecho de que un proyecto de ley tan complejo como el GDPR llegase al Senado sería un gran logro.

Aun así, después del escándalo de Cambridge Anayltica, la indignación pública y la conmoción de la ciudadanía han llevado a los legisladores a introducir y crear varias nuevas leyes relacionadas con la privacidad (Derek Hawkins, 2018). Una de ellas le daría a la FTC más poder para imponer multas a las empresas, con una fórmula similar a la del GDPR.

Otra de estas leyes daría a los ciudadanos más control sobre cómo las compañías pueden usar su información personal.

Incluso después del escándalo de Cambridge, no existe una demanda pública real para que se realicen nuevos cambios instrumentales con respecto a la nueva legislación de privacidad de datos. Según Kovacic: "Esperaremos hasta que haya un evento grave y luego hagamos una cirugía de emergencia para solucionarlo" (Derek Hawkins, 2018). El autor asegura que toda la prueba de Facebook fue una exhibición impactante, pero no lo suficiente como para hacer cambios severos en la legislación.

Sin embargo, Amie Stephanovich tiene una opinión diferente sobre los cambios pendientes. Ella toma nota de que Cambridge Analytica y Facebook pusieron sobre la mesa el tema de la protección de datos en Estados Unidos. Con la gran cantidad de legislación sobre privacidad pendientes en el Congreso como evidencia, existe una gran demanda de cambios en las leyes de protección de datos en dicho país (Derek Hawkins, 2018).

El bebé digital de la UE: GDPR

Con algo más de un año de antigüedad, el Reglamento General de Protección de Datos se aprobó en mayo de 2018. El GDPR es bastante largo, contando con 173 consideraciones y 99 artículos. El proyecto de ley aprobado en la UE se aplica a los 28 países que forman parte de la Unión, con el objetivo de que cada estado redacte sus propias leyes de legislación de privacidad.

El proyecto de ley, en efecto, otorga a los ciudadanos el poder sobre cómo se utilizan sus datos y permite que solo se usen solo con un consentimiento expreso. El propósito también le da a las empresas más transparencia en la forma en que tratan la información personal de sus empleados y les impide publicitarla, así como también venderla a empresas de terceros (Curtis, Hellard, Jones & Sabet, 2019).

Las posibles sanciones que surgen cuando una empresa incumple la ley son bastante severas. No importa el tamaño de la empresa, o si su compañía está incluso fuera de la UE, si su empresa utiliza datos de ciudadanos de la UE y los almacena en sus servidores, también puede aplicar a las sanciones. Por ejemplo, las empresas estadounidenses como Facebook y Google aplican al GDPR, lo que significa que una violación de la privacidad de alguien puede llevar a infracciones impuestas por las Autoridades de Protección de Datos.

 El incumplimiento de sus disposiciones es punible con una sanción de hasta el 4% de su facturación anual o hasta 100 millones de euros en varios casos (Albrecht, 2019).

Cómo procesar legalmente datos

Recorrer las 173 arduas consideraciones del GDPR puede llevar bastante tiempo. Lo que las empresas deben buscar en lo que constituye el procesamiento legal de los datos personales de alguien comienza en la consideración 39.

El enfoque principal del bloque legislativo de acuerdo con las “Consideraciones del GDPR”, incluyen legalidad, imparcialidad y transparencia. Lo que significa que cualquier procesamiento de datos de un individuo debe ser legal y justo. Las personas involucradas deben ser informadas de que sus datos que están siendo procesados ​​y en qué medida se están procesando en un lenguaje legal simple que puedan entender. Además, es importante que la empresa y las personas involucradas tomen conciencia de los riesgos involucrados durante el procesamiento de sus datos personales.

 Además, se requiere que conozcan sus derechos cuando se trata de sus datos personales, así como las medidas de seguridad establecidas para evitar que se produzcan actividades insidiosas.

El reglamento requiere que usted procese la información por una razón. Lo que significa que las empresas solo deben usar o recopilar los datos necesarios para cumplir con la obligación necesaria para hacerlo. Solo se deben procesar los datos personales como último recurso al deber que está tratando de cumplir.

Finalmente, esta consideración establece tener precisión y eliminar cualquier información que sea inexacta sobre alguien. Tener los datos que las compañías que procesan son confidenciales y seguros también es una necesidad (Bateman, 2018).

La consideración 40 ofrece las bases legales para el procesamiento de datos. Según la misma, para que cualquier procesamiento sea legal, se requiere el consentimiento del interesado, así como tener intereses legítimos, lo que significa que hay un interés legítimo ponderado y equilibrado donde se necesita el procesamiento de dichos datos. Otras bases legales incluyen: interés vital, obligaciones contractuales, obligaciones legales e interés público (i-Scoop).

En la consideración 41 se resume que cuando el GDPR hace referencia a algo como una "base legal", no significa intencionalmente un requisito directo de ninguna legislación. En otras palabras, la legislación no debe estar sujeta a los requisitos de conformidad con el orden constitucional del estado miembro en cuestión.

Además, la legislación debe ser entendida fácilmente por las personas involucradas, de acuerdo con el Tribunal de Justicia de la Unión Europea y el Tribunal Europeo de Derechos Humanos (Nicholas Vollmer, PrivacyPlan).

Hay muchas más consideraciones que se implementan para describir en detalle los motivos legales para utilizar los datos personales de alguien. En conclusión, sin embargo, los seis motivos principales para la legalidad del procesamiento de datos personales son el consentimiento, la necesidad contractual, las obligaciones legales, los intereses vitales, los intereses públicos y los intereses legítimos (i-Scoop).

Autoridad de Protección de Datos / Consejo Europeo de Protección de Datos

Tras la implementación del GDPR en 2018, cumplir con la legislación en protección de datos se ha convertido en un trabajo importante para todas las empresas que operan en la Unión Europea. Empresas como Amazon, Google o Facebook, aunque tengan sus bases en Estados Unidos, deben cumplir con las regulaciones del GDPR ya que trabajan con los datos de ciudadanos de la UE.

Para facilitarlo, la DPA (Autoridad de Protección de Datos) no solo busca multar a las empresas que infringen la ley sino que también asesora mediante expertos en todo lo relacionado con la protección de datos. Un ejemplo de este trabajo de asesoramiento es el establecimiento de una lista pública de operaciones de procesamiento con una evaluación del impacto en protección de datos.

Igualmente, los DPA ya han creado manuales y otros materiales de fácil lectura para ayudar a las empresas a comprender sus obligaciones en virtud del GDPR y a las personas a entender sus derechos. Lo que no puede hacer el DPA es dar su consejo personal o ayudar con la contratación de abogados competentes (Comisión Europea).

Por otra parte, hay que mencionar al Consejo Europeo de Protección de Datos, un organismo europeo independiente dentro de la Unión Europea. Su labor es contribuir a la aplicación esencial de las normas de protección de datos en toda la UE. También se asegura de promover la cooperación entre las autoridades de protección de datos de los distintos países de la Unión. La junta está ubicada en Bruselas (Bélgica) y fue creada tras la aprobación del GDPR.

GDPR: Lo bueno

El GDPR entró en vigor en mayo pasado de 2018 en toda la Unión Europea, equilibrando muchas de las leyes nacionales vigentes en materia de privacidad. Fue muy elogiada debido al gran poder que otorga a los consumidores para otorgarles un mayor control de sus datos y privacidad. Su secreto fue dar a los individuos libertad respecto al tratamiento de sus datos, gracias a las nuevas bases legales (Schultze, 2019).

Las personas que deseen que su información personal sea eliminada permanentemente por parte de cualquier empresa tendrán todo el derecho de hacerlo. Las empresas que no estén de acuerdo en eliminar la información de los sujetos de datos, o incluso si se dan fugas e infracciones, se enfrentarán a graves consecuencias. Por ejemplo, las empresas que no cumplan el reglamento se podrán enfrentarán una multa de 20 millones de euros o al 4% de su facturación anual (Finance News, Open Access Government (2018)).

Otros beneficios para las empresas después de la firma del GDPR es una mayor confianza de los propios empleados. Al requerirse que cada empresa tenga un oficial de protección de datos, el tratamiento de los datos de los mismos empleados será más óptimo. Como resultado, existe una mejor seguridad de los datos tanto de ciudadanos como de trabajadores internos.

Con los ataques cibernéticos creciendo cada día, las compañías que disfrutan de un marco GDPR fortalecen su conocimiento de las prácticas de seguridad cibernética. Bajo esta legislación, una empresa tendrá que divulgar cualquier incumplimiento dentro de las 72 horas posteriores a su ocurrencia. El GDPR es una buena plataforma que las empresas deben seguir para estar más seguras en la forma en que las mismas manejan sus datos (Finance News, Open Access Government (2018)).

Las organizaciones reducirán sus costes ya que el GDPR las obliga a retirar cualquier software de datos obsoleto, así como las aplicaciones heredadas. Cuando las empresas siguen las consideraciones del GDPR, reducen los costes de almacenamiento de datos de manera notable, convirtiéndolos en irrelevantes.

Las empresas están mejor alineadas con la tecnología como resultado del nuevo marco jurídico europeo. Aun así, dichas organizaciones deben avanzar para mejorar la seguridad de sus redes, puntos finales y aplicaciones. Gracias a las herramientas de administración de terceros, las empresas pueden estar monitoreadas constantemente para detectar posibles violaciones de datos.

Dado que existen más restricciones para las empresas en relación con los datos, serán más inteligentes y prudentes en la forma en que manejan los datos de los individuos y son más complacientes con las reglas debido a sus severas sanciones (Finance News, Open Access Government (2018)).

GDPR: Lo malo

Aunque el GDPR ofrece muchas cosas buenas para las empresas y los consumidores en lo que respecta a la protección de datos, también hay algunos aspectos negativos que resaltar. El primero de ellos es que a veces proporciona un obstáculo a la aplicación de la ley.

Muchas agencias o departamentos policiales confían en un protocolo de respuesta denominado WHOIS. El protocolo particular ayuda a estos departamentos a recopilar información sobre quién posee un sitio web en particular. Los departamentos de policía han usado esto en el pasado, ya que es una buena manera de que puedan verificar la legitimidad de una página web. La nueva legislación GDPR eliminó este servicio, al considerar que infringía la ley de protección de datos (David Emm, 2018). Como resultado, la ICANN, que supervisa WHOIS, presentó una importante demanda.

Otro importante defecto del GDPR es establecer las mismas sanciones tanto a pequeñas empresas como a grandes empresas que violan sus leyes de privacidad. Al ser una penalización del 4% de los ingresos anuales esto perjudica tanto a las grandes corporaciones, como a las pequeñas empresas que cometen las mismas infracciones. Esto puede ser una catástrofe para las pequeñas empresas y perjudicar sus posibilidades de crecimiento, ya que algunas de sus posibles infracciones son muy leves como para justificar una sanción.

Por otra parte, el acceso restringido a los datos del dominio hace que sea extremadamente difícil para las empresas investigar los delitos cibernéticos, según afirman el 66% de los profesionales de la ciberseguridad (GDPR, The Good, the Bad & the Ugly, 2018). Potencialmente, esto podría llevar a un aumento en la extorsión cibernética, lo que facilita que los ciberdelincuentes puedan identificar qué compañías no estén cumpliendo con las nuevas regulaciones del GDPR.

Podría ser un riesgo que haría que las compañías accedieran al pago de la tarifa de rescate para mantener la privacidad de su información personal. A la vez, esto supondría multas de hasta 20 millones de euros. Si, además, el ICO se entera del pago de un rescate, la empresa podría recibir una multa dos veces (David Emm, 2018).

Igualmente, hay que señalar que la normativa ha limitado la visualización de muchos de los principales periódicos extracomunitarios en línea. A finales de 2018, aproximadamente un tercio de los 100 periódicos más grandes del mundo todavía no están disponibles en Europa (GDPR, The Good, the Bad & the Ugly, 2018).

Por último, también hay una falsa sensación de seguridad. Aproximadamente el 56% de las empresas no está segura de qué datos han recopilado sus socios. Además, el 7% de las empresas están adoptando un enfoque de espera hasta comprobar como funciona el proyecto de ley. Este mismo porcentaje creen que no se habrán convertido por completo a las regulaciones de GDPR hasta finales de año (GDPR, The Good, the Bad & the Ugly, 2018).

Privacidad de datos EE. UU. vs UE GDPR: Conclusión

Hay grandes diferencias entre las regulaciones de privacidad de datos de la UE con el GDPR y las de EE. UU. En cuanto a la UE, su ley de protección de datos es una parte de la legislación que cubre muchas partes móviles dentro de corporaciones y empresas. En cuanto a Estados Unidos, la recopilación y el procesamiento de datos personales se analizan según el tipo de datos de forma independiente.

Por ejemplo, los datos relacionados con las finanzas se aplican mediante la ley Gramm-Leach-Bliley y los datos relacionados con la atención médica se rigen por la Ley de Responsabilidad y Portabilidad de los Seguros de Salud. Al no existir una legislación única que cubra todas estas protecciones y regulaciones, hay varios tipos de datos personales cubiertos por el GDPR que no tienen las protecciones correspondientes bajo la Ley Americana (HIPAA Journal, 2018).

Otra gran diferencia la encontramos en los papeles de la FTC (EE. UU.) y la DPA (UE). La Comisión Federal de Comercio (FTC) en Estados Unidos es muy limitada respecto a lo que pueden y no pueden hacer. Por el contrario, la Agencia de Protección de Datos y la Junta Europea de Protección de Datos son la principal agencia que hace cumplir las leyes GDPR y multa las infracciones de las empresas. La versión europea cuenta con muchos más recursos y privilegios sobre cómo pueden imponer sanciones. Por el contrario, la FTC solo puede manejar las infracciones llevando a la empresa a los Tribunales.

Aun así, hay estados como California, al aprobar la Ley de Privacidad del Consumidor de California de 2018, que intentan emular el GDPR europeo.

Por otra parte, también encontramos una similitud en que ambos cuentan con agencias que supervisan las infracciones y si las empresas están cumpliendo, las ya mencionadas FTC y DPA. Aunque la Agencia de Protección de Datos (DPA) tiene más poder para imponer cualquier sanción, muchos de sus deberes son similares (Noordyke, 2019).

En conclusión, ambas legislaciones sobre privacidad tienen mucho en lo que trabajar, pero a medida que la ciberseguridad y la privacidad se conviertan en una mayor amenaza, veremos que tanto Estados Unidos como la UE realizan nuevos cambios en sus ya complejas legislaciones para adaptarse a la nueva realidad.

Bibliografía

 

Cinco Días
Expansión
EFE Emprende
CuatroCasas Telefonica

Empresa participante en Cuatrecasas ACELERA en colaboración con Telefónica Open Future.