Emilie J. Kogut.
¿Están los países conscientes de la importancia de las leyes de protección de datos?
Tanto en Chile como en otros países de América Latina, vemos mucho movimiento en términos de normas de privacidad. Brasil tendrá su nueva ley de privacidad el próximo año y Chile está redactando nuevamente su ley, que ya es muy antigua y es necesario actualizar.
Hay varios otros países en todo el continente que están haciendo lo mismo, por lo tanto, es probable que haya muchos cambios desde una perspectiva de privacidad regulatoria en los próximos años. En gran medida, las leyes de privacidad de todo el mundo están enraizadas en los mismos principios, puede haber algunas variaciones, pero en gran medida siguen los lineamientos del Reglamento General de Protección de Datos (GDRP) de Europa.
¿Deben las empresas esperar las leyes para implementar sus políticas de privacidad?
Deberían comenzar a trabajar antes, porque cuando surge una ley de privacidad, si una empresa no ha estado pensando en su uso de datos personales, en cómo se recopilan, a quién se transfieren y si existen los controles de acceso correctos alrededor de la data, tendrían de pronto demasiado trabajo por hacer.
¿Dónde deberían empezar?
El punto de partida siempre es comprender dónde se encuentran sus datos. Por ello, nuestras conversaciones con clientes siempre comienzan con el descubrimiento de datos, que no es más que un inventario que ayuda a comprender qué sistemas procesan datos personales y hacia dónde son transferidos. Entonces, si los datos se transfieren a un tercero, la empresa tiene obligaciones con el cliente, pues si ese tercero sufre una violación, la compañía sigue siendo responsable. Por lo tanto, el ejercicio del mapeo de datos es crítico.
¿Cuál es el siguiente paso?
Diría que es identificar los puntos donde se interactúa directamente con clientes, pues ese es el punto de entrada de los datos y es donde deben activarse ciertos requisitos. Por ejemplo, ¿se está notificando al cliente que sus datos serán recopilados y posiblemente utilizados o transferidos a otro lugar? ¿La empresa tiene consentimiento para hacer eso?
Adicionalmente, es importante identificar los tipos de datos personales de manera de aplicar los controles de seguridad correctos. La empresa necesita identificar esa sensibilidad y proporcionar una protección mejorada en torno a esos datos. Es por ello por lo que a menudo recomendamos a las compañías que miren dónde se involucran con el cliente, que tengan un proceso formal en esa etapa de contacto, que identifiquen los datos y que obtengan el consentimiento correspondiente. Otra de nuestras recomendaciones es que solo recopilen los datos necesarios, y nada más, de manera de no tener información irrelevante que haga más complejo el asegurar esa data.
¿La nube hace más complejo abordar una política de datos?
Los proveedores de la nube son esencialmente terceros, por lo que, si una empresa está utilizando una nube para almacenar sus datos, debe asegurarse de que esta proporcione el mismo nivel de seguridad y protección de privacidad y que cumpla con los estándares con los cuales la compañía está siendo regulada. La nube proporciona algunas complejidades adicionales, ya que su infraestructura podría estar en otros países. Digamos que si una empresa tiene un negocio cloud en Brasil, pero no hace negocios en Brasil, surge la duda de si la ley de privacidad se aplicará a esos datos.
Eso no está claro, pero aparte de eso, las nubes tienen la misma responsabilidad que cualquier otro tercero o procesador, que es el nombre con el que se le denomina en el GDPR.
¿Hay puntos del GDPR que sean indispensables en las leyes de los distintos países?
Principalmente las leyes deben otorgar un mayor control del consumidor sobre sus datos. Según el GDRP, ellos tienen derecho a llamar a una empresa y solicitar que se les informe qué datos suyos tienen, obtener una copia e incluso solicitar que se borre su información.
Sin embargo, este punto tampoco es absoluto, ya que, si la empresa tiene justificaciones legales para mantener los datos, como una ley de retención de registros, puede conservarlos. Creo que esos derechos estarán en cualquier ley en el futuro y será algo para lo que las empresas necesitan una preparación, pues los clientes tendrán más control sobre los datos que entregan. El GDPR y muchas otras leyes en Asia, California y Brasil, brindan derechos mejorados para que un cliente pueda acceder y solicitar la eliminación de sus datos, por lo que diría que cualquiera nueva ley de privacidad que se publique probablemente tendrá algo que ver con los derechos de acceso y eliminación del cliente.
¿Estamos más conscientes del resguardo de nuestros datos?
Diría que en Estados Unidos y en Europa definitivamente se están volviendo mucho más sofisticados. Hace cerca de dos años, cuando se supo que Facebook estaba enviando datos a terceros, a una empresa que estaba involucrada en las elecciones sin el consentimiento o conocimiento de los usuarios, se generó un gran problema y fue un tema muy delicado porque las repercusiones eran reales. Definitivamente creo que los clientes son cada vez más conscientes de las repercusiones de entregar datos a una empresa y que esta pueda usarlos sin restricciones. Hoy las noticias van por el lado del uso inapropiado de los datos por parte de las compañías, por lo que creo que hay una creciente expectativa entre las personas de que todavía tienen control sobre sus datos, que aún mantienen derechos sobre estos.
¿Y hay más conciencia entre las empresas?
Cuando doy ejemplos de buenas medidas de privacidad, me gusta hablar de Apple, que ha insistido en que la privacidad es un derecho humano y uno de nuestros valores fundamentales. Apple ha intentado distanciarse de Facebook y Google al afirmar que no vende la información de sus usuarios, sino que solo la recopila por razones de seguridad o por una transacción. Está usando la privacidad como su diferenciador frente otras compañías tecnológicas y los clientes están respondiendo a eso. Pero, incluso si no existe un marco regulatorio, ya son muchas las empresas que están pensando en cómo utilizan los datos, quién tiene acceso a ellos o a quién están siendo transferidos.
Hay muchas pensando críticamente y asegurándose de tomar las precauciones correctas para comenzar un programa que muestre a los clientes que sus datos son tomados con resguardos serios y eso marca un diferenciador clave de sus competidores.