Definición de cumplimiento: hacia dónde se dirigen la privacidad y la seguridad de los datos globales en 2019

Publicado: 2019-01-31

La primavera pasada fue más que un poco agitada para los vendedores, profesionales de TI y abogados por igual, gracias al Reglamento General de Protección de Datos (GDPR) de la Unión Europea , que entró en vigor en mayo de 2018. Esta legislación transformadora sacudió la privacidad y la seguridad de los datos como sabíamos. —no solo en la UE, sino en todo el mundo— responsabilizando a las empresas por la forma en que manejan los datos de los clientes y volviendo a enfatizar el derecho de las personas a controlar su propia información.

En los meses transcurridos desde entonces, hemos escuchado caso tras caso en los que gigantes tecnológicos como Facebook y Google se enfrentan a multas y otras acciones legales por no revelar adecuadamente cómo utilizan los datos personales y otros incumplimientos. Además, GDPR ha iniciado una ola de conversaciones y acciones incrementales en torno a la privacidad y seguridad de los datos que dejan en claro que el terreno en esta área clave está lejos de estar resuelto.

A medida que avanza 2019, una de las grandes preguntas que enfrentan las marcas grandes y pequeñas en todo el mundo es: ¿qué depara el nuevo año para la privacidad y seguridad de datos globales? Y aunque no tenemos una bola de cristal que funcione aquí en Braze, tenemos la siguiente mejor opción: nuestra vicepresidenta sénior de Asuntos Legales, Consejera General y Secretaria Corporativa Susan Wiseman y la Consejera General Asociada y Directora Sénior (EMEA) Marjorie Armitage, que han estado en la primera línea de este espacio en evolución en los últimos años. Siga leyendo para verlos trazar sus predicciones para el próximo año:

1) El énfasis en los derechos de privacidad del consumidor se extenderá fuera de la UE

Mucha gente legal le dirá que GDPR no es particularmente novedoso cuando se trata de sus conceptos legales centrales. La regulación a menudo es vaga e intencionalmente, parte de un esfuerzo de sus redactores para permitir que la legislación siga siendo flexible y relevante a medida que evolucionan las tecnologías. (Después de todo, la legislación de la UE que reemplaza el RGPD, la Directiva de protección de datos, estuvo vigente durante 23 años, desde que los teléfonos inteligentes eran solo un brillo en el ojo de Steve Jobs). Lo que hace que el RGPD se destaque entre la multitud es la manera que trabaja para proteger a los ciudadanos de los países de la UE. Al presentar la privacidad y la seguridad de los datos como una especie de derecho humano básico, la legislación hace mucho para garantizar que las organizaciones de otros países que se ocupan de los datos personales de los ciudadanos de la UE se tomen en serio estos problemas y el cumplimiento.

De hecho, la UE y otros países del mundo tienen leyes estrictas para proteger los datos personales. La UE permite a las empresas transferir datos personales de la UE a otros países que tienen leyes igualmente estrictas. La UE se refiere a estos países como jurisdicciones “adecuadas”. Pero si, por ejemplo, es una empresa de medios con sede en los Estados Unidos, que es un país que actualmente no se reconoce como adecuado según los estándares de la UE, aún puede procesar datos personales de sus clientes en la UE, siempre que tenga acordó con su cliente que va a proteger los datos personales de una manera que exceda los requisitos de la ley de EE. UU. Puede hacerlo autocertificándose del Escudo de privacidad o firmando Cláusulas modelo con su cliente. Tanto el Escudo de privacidad como las Cláusulas modelo sirven para validar las transferencias de datos personales a EE. UU.; hacerlo sin un método reconocido por la UE sería una infracción de la legislación de la UE.

Este tipo de acuerdos son cruciales porque puede ser difícil para un país lograr la adecuación. Por ejemplo, debido a que Estados Unidos aún no cuenta con leyes nacionales amplias que se alineen con el RGPD, las empresas con sede en los Estados Unidos solo pueden procesar datos personales de la UE si han firmado con sus clientes las Cláusulas modelo o si se han autocertificado. al marco del Escudo de privacidad UE-EE. UU., que hace posible que las empresas de la UE transfieran datos personales de ciudadanos de la UE a empresas estadounidenses (¡como Braze, por ejemplo!)

2) Estados Unidos probablemente no redactará una ley federal de privacidad de datos en 2019, pero la legislación estatal se recuperará

Si bien es cierto que EE. UU. no tiene leyes nacionales que cumplan con los estándares requeridos por las autoridades de protección de datos en la UE, cuando se trata de privacidad y seguridad de los datos del consumidor, poco a poco estamos comenzando a ver estado por estado. entra en juego la legislación.

El año pasado, California se convirtió en el primer estado del país en aprobar una nueva legislación de privacidad de datos con la creación de la Ley de Privacidad del Consumidor de California. Esta ley es innovadora en lo que respecta a los requisitos de privacidad de datos de los EE. UU., ya que garantiza a los consumidores el derecho al acceso y borrado de datos, y exige a las empresas que actualicen los contratos de procesamiento de datos de terceros para garantizar el cumplimiento de formas que recuerdan las reglas establecidas para el controlador/procesador. en GDPR, entre otros requisitos pioneros en los EE. UU.

Cuando la aplicación del RGPD entró en vigencia en mayo de 2018, más de unas pocas empresas de EE. UU. optaron por lidiar con esta importante nueva regulación, bueno... sin lidiar con ella. Es decir, algunas organizaciones que no tenían clientes en la UE optaron por no trabajar para cumplir con el RGPD porque no tenían clientes en la UE; mientras tanto, otras empresas que tenían clientes en la UE optaron por excluirlos en lugar de tratar de seguir la nueva ley. Algunas marcas en California, un importante centro de tecnología y medios en los EE. UU., también cayeron en este barco. ¿Recuerdas cuando Los Angeles Times eliminó su sitio web por completo en la UE, todo para no tener que cumplir con GDPR? Bueno, ahora esas mismas empresas tienen menos de un año para cumplir con la Ley de Privacidad del Consumidor de California antes de que comience la aplicación el 1 de enero de 2020.

En general, les convendría mucho a las empresas con sede en los EE. UU., grandes y pequeñas, nuevas y establecidas, comenzar a avanzar hacia una realidad en la que los derechos de privacidad y seguridad de los datos del cliente sean un hecho. Si bien California fue el primer estado en aprobar una legislación de privacidad de datos completamente nueva a raíz de GDPR, estamos viendo que otros estados como Louisiana, Alabama, Colorado y Virginia están tomando medidas para fortalecer las leyes existentes sobre privacidad de datos. (Además, Vermont aprobó previamente una nueva ley que endurece la regulación de los corredores de datos y establece estándares mínimos de seguridad).

Si bien hasta ahora no hay señales de que el gobierno federal de los EE. UU. vaya a tomar medidas para redactar una ley federal al estilo del RGPD este año, el mosaico en expansión y la legislación nueva y fortalecida sobre la privacidad de datos en cada estado es una señal clave para las empresas. que necesitan pensar seriamente sobre cómo están manejando los datos actualmente. Si no lo hacen, corren el riesgo de quedar sorprendidos cuando entre en vigor una nueva ley nacional o cuando las leyes estatales hagan imposible hacer negocios dentro de los EE. UU. sin revisar la forma en que procesan y administran los datos de los consumidores.

Es poco probable que este Congreso de EE. UU. apruebe una ley [de privacidad a nivel nacional] en el corto plazo. No obstante, la privacidad está claramente en la mente de las personas. Incluso en los EE. UU., hay un mayor impulso y énfasis en los derechos de privacidad y la necesidad de una mejor y más legislación. Creo que en lugar de ver una Ley Federal de Privacidad nueva y radical, vamos a ver a un grupo de estados promulgar leyes similares a las que hizo California el año pasado con la CCPA.

Susan Wiseman, vicepresidenta sénior de Asuntos Legales, Consejera General y Secretaria Corporativa de Braze

3) La privacidad por diseño se convertirá en la nueva normalidad

“Privacidad desde el diseño” significa garantizar que los sistemas se construyan desde el principio con la intención de almacenar, proteger, transferir y procesar datos personales utilizando prácticas de seguridad estándar de la industria y siguiendo los deseos de los consumidores con respecto a sus datos personales. Pero si bien el concepto ha existido por un tiempo, GDPR es la primera regulación que lo incluye como parte de sus requisitos de cumplimiento. Aunque los parámetros de lo que califica como privacidad por diseño dentro de GDPR son algo vagos, garantiza que las empresas que cumplen están tomando medidas para diseñar sus sistemas teniendo en cuenta la seguridad de los datos.

Asegurarse de que su empresa cumpla con los estándares de "privacidad por diseño" requiere consideración y vigilancia cuando se trata de administrar la información. Debe saber de dónde provienen los datos, qué personas y sistemas los tocan, y cuándo se puede o no acceder a ellos o utilizarlos. Todo eso es mucho más fácil si crea sistemas y procesos de administración de datos que integren conceptos sólidos de privacidad y seguridad de datos desde el principio.

GDPR pone énfasis en brindar a los consumidores una comprensión clara de cómo las organizaciones utilizan sus datos (sin tener que leer un documento legal masivo), dándoles la capacidad de cambiar sus preferencias de datos en cualquier momento, y el derecho a acceder y solicitar el borrado de su información cuando lo deseen. La privacidad por defecto también encaja en este concepto, lo que significa que si un cliente no ha actualizado sus preferencias, la configuración por defecto debería ser los niveles más altos de protección y control de datos. Como bien saben los especialistas en marketing, este tipo de restricciones a veces pueden afectar negativamente la experiencia del cliente; por ejemplo, los usuarios de una aplicación de viajes compartidos tendrán una experiencia bastante frustrante si no brindan acceso a su ubicación. Eso significa que depende de las empresas usar mensajes creativos (¡y compatibles!) para que los consumidores decidan que hay un valor real en permitir que esas empresas usen sus datos personales para respaldar experiencias más relevantes e impactantes.

GDPR se hizo deliberadamente amplio en términos de cómo se ve el cumplimiento en un esfuerzo por permitir que la tecnología evolucione. Ciertos aspectos de la Directiva de protección de datos quedaron obsoletos en unos cinco años a medida que Internet explotó, por lo que los legisladores tuvieron mucho cuidado de asegurarse de que el RGPD fuera independiente de la tecnología.

Marjorie Armitage, asesora general asociada y directora sénior (EMEA) de Braze

4) Las empresas buscarán cada vez más la validación de terceros

La vaguedad inherente e intencional de GDPR es fundamental para la legislación, y esa vaguedad ha sido un obstáculo importante para muchas empresas que buscan cumplir con la ley. Pero, afortunadamente, esa misma vaguedad también ha permitido que las empresas se unan para determinar cómo se ve el manejo de datos conforme a las normas, al tiempo que permite que la tecnología crezca y evolucione. Y debido a que demostrar que su empresa realmente está haciendo lo que dice en lo que respecta a la privacidad de datos es un componente clave para el cumplimiento de GDPR, los sistemas de validación de terceros serán cada vez más importantes para las marcas.

¿Cómo se ve eso? Bueno, en Braze, nuestro enfoque en garantizar que estamos priorizando la privacidad y la seguridad de los datos nos llevó a buscar la validación de nuestros sistemas y procesos por parte de terceros; más recientemente, completamos con éxito la certificación SOC 2, Tipo 2 e ISO 27001 durante la 2018 año calendario. La certificación ISO afirma que una organización ha realizado una evaluación integral de los riesgos de seguridad y ha creado un Sistema de gestión de seguridad de la información (ISMS) que cumple con los requisitos establecidos en el estándar de gestión de seguridad de la información global de ISO, lo que garantiza que la corporación receptora ha alcanzado el estándar de la industria. protocolos de seguridad.

Estos estándares son determinados por partes interesadas de todo el mundo bajo el proceso de establecimiento de estándares globales de ISO. De hecho, nuestra propia Marjorie Armitage se desempeña actualmente como copresidenta interina del subgrupo de trabajo del organismo de estándares europeo del Reino Unido que trabaja para determinar los estándares de privacidad de la industria relacionados con el cumplimiento de GDPR. Y a medida que aumenta la cantidad de estándares asociados con las nuevas regulaciones de privacidad de datos, busque certificaciones para estándares como estos para que se conviertan en apuestas para las empresas que buscan demostrar su cumplimiento tanto a los consumidores como a los reguladores.

La responsabilidad siempre fue un principio clave de la protección de datos, pero el RGPD finalmente lo codificó en la ley. Debe poder demostrar que cumple y que está haciendo todo lo que dice.

Marjorie Armitage, asesora general asociada y directora sénior (EMEA) de Braze

Pensamientos finales

La tecnología ha hecho posible que las empresas obtengan una visión rica y más matizada de sus clientes y sus comportamientos que nunca antes, pero el uso de los datos detallados de los clientes que impulsan esa comprensión también puede conllevar riesgos para las marcas y sus usuarios por igual. Parte de aprovechar los datos de manera efectiva es asegurarse de tener los procesos, las herramientas y el conocimiento que necesita para proteger la información que sus clientes le han confiado.

Ese es el mundo en el que nos encontramos, y los riesgos y las recompensas solo aumentarán a medida que avance la tecnología y cambie el comportamiento del consumidor. Para profundizar en las consideraciones clave sobre GDPR, HIPAA y lo último sobre cómo la seguridad de los datos está afectando el compromiso del cliente, consulte el resumen de seguridad de Braze .