Un poco más de un mes después de que la Unión Europea promulgara el Reglamento General de Protección de Datos (GDPR) para extender los nuevos derechos de privacidad de datos a su gente, el gobernador de California firmó una ley de protección de datos separada y amplia que tomó prestadas varias ideas del GDPR, lo que provocó Soplete en una tendencia legislativa de privacidad de datos que ahora ha abarcado al menos 10 países.

En Chile, los legisladores están actualizando la legislación de décadas para garantizar que sus protecciones de datos constitucionales incluyan los derechos de solicitar, modificar y eliminar datos personales. En Argentina, los legisladores están actualizando un conjunto de protecciones de privacidad de datos que ya le otorgaron al país un estado de «lista blanca», lo que le permite transferir datos de manera más fluida a la Unión Europea. En Brasil, el presidente firmó una ley de protección de datos que entra en vigencia este agosto que crea un marco similar al GDPR, establece reglas para los «controladores» y «propietarios» de datos e instala una autoridad de protección de datos para regular y revisar posibles violaciones.

Más allá de América del Sur, India está considerando una nueva ley que restringiría la forma en que las empresas internacionales usan los datos personales, pero la ley incluye una laguna masiva para las agencias gubernamentales. Canadá aprobó su primera ley nacional de notificación de violación de datos, y en los Estados Unidos, múltiples proyectos de ley estatales y federales han tomado prestados generosamente de las ideas de GDPR para extender los derechos de acceso, eliminación y portabilidad de datos al público.

El RGPD entró en vigencia hace dos años y su impacto es claro: la privacidad de los datos es la ley del país, y muchos países buscan inspiración en el RGPD.

Amy de La Lama, socia de Baker McKenzie que enfoca su práctica legal en la privacidad global, la seguridad de los datos y la ciberseguridad, dijo que el mundo está experimentando cambios importantes en la privacidad de los datos y que GDPR ayudó a estimular muchas de las conversaciones actuales.

«A un alto nivel, hay una gran cantidad de movimiento en el mundo de la privacidad», dijo De La Lama, «y, sin lugar a dudas, el GDPR ha sido un gran impulsor».

Las siguientes leyes y proyectos de ley son una muestra de los muchos esfuerzos globales para llevar la privacidad de los datos a casa. A menudo, las leyes y leyes más nuevas están influenciadas por GDPR, pero varios países que aprobaron leyes de privacidad de datos antes de GDPR todavía están trabajando para actualizar sus propias reglas para integrarse con la UE.

Este es el RGPD en todo el mundo.

Sudamerica

Varios países de América del Sur ya otorgan derechos de protección de datos más fuertes a su público que en los Estados Unidos, y varios consagran el derecho a la protección de datos en sus constituciones.

En 2018, Chile se unió a ese último club, complementando su antiguo derecho constitucional a la privacidad con un nuevo derecho a la protección de datos. La constitución ahora dice:

«La Constitución garantiza a todas las personas: … El respeto y la protección de la vida privada y el honor de la persona y su familia, y, además, la protección de los datos personales. El tratamiento y la protección de estos datos se aplicarán en la forma y condiciones que determine la ley «.

Esa última referencia a «condiciones determinadas por la ley» es muy importante para los derechos reales de protección de datos de los chilenos porque, aunque la Constitución protege los datos, no especifica cómo deben protegerse esos datos.

Piense en ello como la Constitución de los Estados Unidos, que, por ejemplo, protege a las personas de los Estados Unidos contra registros irrazonables. Sin embargo, solo en las últimas décadas, los tribunales y los legisladores han interpretado si las “búsquedas irrazonables” incluyen, por ejemplo, búsquedas de correos electrónicos enviados a través de un proveedor externo o búsquedas de datos históricos de GPS rastreados por un teléfono móvil.

Ahora, Chile está trabajando para determinar qué incluirán realmente sus derechos de protección de datos, con un impulso para derogar y reemplazar una ley de protección de datos de décadas llamada «Ley de Protección de Datos Personales», o Ley N ° 19.628. Los últimos esfuerzos legislativos incluyen un impulso para incluir los derechos para solicitar, modificar y eliminar datos personales, junto con el derecho a retirar el consentimiento de cómo una empresa recopila, almacena, escribe, organiza, extrae, transfiere y transmite datos personales.

La renovación de las protecciones de datos anteriores no es exclusiva de Chile.

Argentina implementó su Ley de Protección de Datos Personales (PDPL) en 2000. Pero esa ley, a diferencia de la de Chile, se inspiró en la Unión Europea mucho antes de la aprobación del GDPR. En cambio, los legisladores argentinos alinearon su legislación con la ley que GDPR derogó y reemplazó , la Directiva de Protección de Datos de 1995.

Esta estrecha relación entre la ley de protección de datos argentina y europea convirtió a Argentina en un lugar cercano para la llamada «lista blanca» del GDPR, una lista de países fuera de la Unión Europea que han sido aprobados para facilitar las transferencias de datos entre países debido a esos países. ‘»Nivel adecuado de protección de datos». Este estado puede resultar vital para innumerables empresas que mueven datos por todo el mundo.

Según la Comisión Europea , los países que actualmente disfrutan de este estado incluyen Andorra, Argentina, Canadá (para organizaciones comerciales), las Islas Feroe, Guernsey, Israel, Isla de Man, Japón, Jersey, Nueva Zelanda, Suiza y Uruguay. También se incluye a los EE. UU., Siempre que las transferencias de datos se realicen bajo el marco limitado del Escudo de Privacidad, un acuerdo que reemplazó al anterior acuerdo de transferencia de datos separado llamado «Puerto Seguro», que el Tribunal de Justicia de la Unión Europea consideró inválido. .

(Privacy Shield también enfrenta desafíos propios , por lo que tal vez Estados Unidos no debería sentirse demasiado cómodo con su estado).

A pesar del estado actual de la lista blanca de Argentina con la Comisión Europea, el país todavía está tratando de actualizar su marco de protección de datos con una nueva legislación.

El nuevo proyecto de ley, Bill No. MEN-2018-147-APN-PTE , se presentó al Congreso de Argentina en septiembre de 2018. Sus cambios propuestos incluyen permitir el procesamiento de datos sensibles con el consentimiento aprobado de una persona, ampliando el alcance territorial de los datos personales. protecciones, creando nuevas reglas sobre cuándo reportar violaciones de datos al regulador de datos del país y aumentando drásticamente las sanciones por violar la ley.

Dentro de América del Sur, todavía hay al menos un país más influenciado por el RGPD.

En agosto de 2018, el entonces presidente de Brasil, Michel Temer, firmó la Ley General de Privacidad de Datos del país («Lei Geral de Proteção de Dados Pessoais» o LGPD). La ley entra en vigencia en agosto de 2020.

Las similitudes con GDPR son muchas, dijo De La Lama.

«Al igual que el RGPD, la nueva ley, cuando entra en vigencia, se aplica extraterritorialmente, contiene requisitos de notificación y consentimiento y transferencia transfronteriza, así como obligaciones con respecto a los derechos de los sujetos de datos y la designación del oficial de protección de datos», dijo de La Lama. «Las cláusulas contractuales estándar de la UE pueden reconocerse bajo la nueva ley, pero este paso aún no se ha dado».

La LGPD define «datos confidenciales» como datos personales que revelan el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas y afiliación sindical, junto con datos genéticos, datos biométricos utilizados para identificar de forma única a una persona física, información médica y de salud, y los datos se refieren a la vida sexual u orientación sexual de una persona.

Similar al GDPR, el LGPD de Brasil también crea una distinción entre los controladores o propietarios de datos y los procesadores de datos, un marco que se ha implementado rápidamente en las leyes propuestas en todo el mundo, incluido Estados Unidos. La LGPD de Brasil también se aplica más allá de las fronteras del país. La ley se aplica a las empresas y organizaciones que ofrecen bienes o servicios a las personas que viven dentro de Brasil, al igual que la forma en que GDPR se aplica a las empresas que dirigen el marketing hacia las personas que viven dentro de la Unión Europea.

La ley también, después de las enmiendas, incluye la creación de la Autoridad Brasileña de Protección de Datos. Ese organismo tendrá la autoridad exclusiva para emitir regulaciones y sanciones para las organizaciones que violen la ley debido a una violación de datos.

India

A fines de 2019, los legisladores de la India introdujeron una ley de protección de datos dos años después, que incluía pequeñas similitudes con el RGPD de la UE. La Ley de Protección de Datos Personales de 2019, o PDPB, requeriría que las compañías internacionales busquen el consentimiento del público de la India para muchos usos de los datos personales, y otorguen a las personas un nuevo derecho a que se borren sus datos.

Las similitudes se detienen ahí.

Si bien partes de la ley fingen el objetivo principal de GDPR, las protecciones de datos incluidas en realidad sufren de una laguna enorme. Tal como está escrito, aunque las restricciones de datos de la ley se aplican a las agencias gubernamentales, la ley también permite que la autoridad de protección de datos recientemente creada elija cualquier agencia gubernamental que quiera eximir.

La ley permitiría a Nueva Delhi «eximir a cualquier agencia del gobierno de la aplicación de la Ley en interés de la soberanía e integridad de la India, la seguridad del estado, las relaciones amistosas con los estados extranjeros, el orden público», según un borrador preliminar. de la ley obtenida por TechCrunch .

Este lenguaje excepcionalmente amplio es similar a cualquier laguna en los Estados Unidos que se aplica a la «seguridad nacional», y es uno de los que luchan los activistas de derechos digitales en la India.

«Esto es particularmente preocupante en India dado que el gobierno es el mayor recolector de datos», dijo Apar Gupta, director ejecutivo de la Internet Freedom Foundation, al hablar con el New York Times .

Salman Waris, quien dirige la práctica de tecnología en el bufete de abogados de Nueva Delhi TechLegis, también le dijo al New York Times que la nueva ley india pretende proteger al público mientras en realidad está logrando algo más.

«Da la apariencia de ser dueño de sus datos y de tener el derecho de saber cómo se usan, para el individuo», dijo Waris, «pero al mismo tiempo proporciona carta blanca al gobierno».

GDPR en los Estados Unidos

Aunque nos hemos centrado en el impacto de GDPR a escala global, es imposible negar la influencia que se siente en casa en los Estados Unidos.

Si bien los esfuerzos del Congreso para aprobar una ley integral de privacidad de datos se remontan al escándalo de Cambridge Analytica de 2018, algunas de las ideas integradas en la legislación de privacidad de datos más actual se relacionan directamente con GDPR.

Un claro ejemplo es la Ley de Privacidad del Consumidor de California (CCPA), dijo Sarah Bruno, socia de Reed Smith que trabaja en la intersección de la propiedad intelectual, la privacidad y la publicidad. Aunque la ley se firmó menos de un mes después de que GDPR entró en vigencia en la UE, fue redactada con tiempo más que suficiente para pedir prestado a GDPR después de la aprobación anterior de esa ley, en 2016.

«GDPR tuvo un impacto en CCPA», dijo Bruno, «y tiene muchos componentes en CCPA».

CCPA otorga a los californianos los derechos de acceso y eliminación de datos, el derecho de llevar sus datos y portarlos a un proveedor separado, junto con el derecho de saber qué datos se recopilan sobre ellos. Los californianos también disfrutan del derecho explícito de optar por que sus datos no se vendan, lo que no está incluido literalmente en el RGPD, aunque esa ley sí brinda a los residentes protecciones que podrían tener un resultado similar. Y aunque CCPA no otorga derechos a los «interesados», como está escrito en GDPR, tiene un alcance de efecto similar. Gran parte de la ley trata de dar a los consumidores acceso a su propia información.

«Los consumidores pueden escribir a una empresa, similar a GDPR, para averiguar qué información [la empresa] está recopilando sobre ellos, a través de cookies, sobre su historial de compras, lo que están viendo en los sitios web cuando están allí», Bruno dijo. Agregó que CCPA sostiene que «toda esa información, un consumidor de California debería tener acceso a eso, y eso es nuevo en los Estados Unidos, pero similar al GDPR».

Pero California es solo un estado inspirado en GDPR. También está Washington, que, a principios de este año, presentó una versión remodelada de su Ley de Privacidad de Datos.

«También es similar a CCPA», dijo Bruno sobre el proyecto de ley renovado de Washington. «Como lo llamo, CCPA plus».

La Ley de Privacidad de Datos tiene un puntaje cercano al GDPR, ya que toma prestado parte del lenguaje de la ley de la UE sobre «controladores» y «procesadores» de datos, que recibirían nuevas restricciones sobre cómo se recopilan y comparten los datos personales. La ley, al igual que GDPR, también otorgaría a los habitantes de Washington los derechos de acceso, control, eliminación y transferencia de sus datos. Al igual que CCPA, la Ley de privacidad de datos también permitiría a los residentes optar específicamente por la venta de datos.

Aunque el proyecto de ley inicialmente recibió una cálida bienvenida de Microsoft y el Foro del Futuro de la Privacidad , poco después, Electronic Frontier Foundation se opuso a la legislación, calificándola como un » esfuerzo débil y simbólico para controlar el uso indebido desenfrenado de datos personales «.

El proyecto de ley, presentado el 13 de enero de este año, no ha avanzado.

El legado de GDPR: ¿multas o fatiga?

La aprobación de GDPR llegó con una clara señal de advertencia a los posibles infractores: violar la ley y enfrentar multas de hasta el 2 por ciento de los ingresos mundiales. Para un conglomerado de Internet como Alphabet, propietario de Google, dicha acción de cumplimiento significaría pagar más de mil millones de dólares. Lo mismo es cierto para Apple, Facebook, Amazon, Verizon y AT&T, solo por nombrar algunos.

A pesar de tener las herramientas para imponer multas de miles de millones de dólares, las autoridades de toda Europa inicialmente fueron tímidas para usarlas. A principios de enero de 2019, la Comisión Nacional de Protección de Datos de Francia (CNIL) impuso una multa de 50 millones de euros contra Google después de que los investigadores encontraron una «falta de transparencia, información inadecuada y falta de consentimiento válido con respecto a la personalización de anuncios». Fue la pena más grande en ese momento, pero palideció en comparación con lo que GDPR permitió: según los ingresos de Alphabet en 2018, podría haber recibido una multa de aproximadamente € 2,47 mil millones, o $ 2,72 mil millones en dólares de hoy.

Seis meses después, los reguladores se inclinaron más en sus poderes. En julio de 2019, el Comisionado de Información del Reino Unido (que en ese momento todavía era miembro de la Unión Europea) multó a British Airways con 230 millones de dólares debido a una violación de datos anterior que afectó a 500,000 clientes. La multa representó el 1.5 por ciento de los ingresos de la aerolínea en 2018.

Pero las multas regulatorias cuentan solo un lado de la historia de GDPR, porque, como dijo De La Lama, después de la aprobación de la ley, sus clientes le dicen que está fatigada al tratar de cumplir con cada nueva ley.

Los matices entre las leyes de protección de datos de cada país han producido guía tras guía de múltiples firmas de abogados globales, cada una atacando el tema con su propio tomo de información enorme. El propio bufete de abogados de De la Lama, Baker McKenzie, lanzó su guía anual de protección de datos global el año pasado, registrando 886 páginas. Un vistazo rápido revela las diferencias sutiles pero importantes entre las leyes del mundo: países que adoptan un marco que separa las restricciones de datos entre «controladores» y «procesadores», países que protegen a los «consumidores» versus «sujetos de datos», países que requieren violaciones de datos para se informará a las autoridades de protección de datos, a los países que crean autoridades de protección de datos y a los países que difieren exactamente en lo que incluye la información personal.

Cumplir con una ley de protección de datos puede ser bastante difícil, dijo De La Lama, y ​​hay pocas garantías de que el movimiento actual de privacidad de datos esté llegando a su fin.

«Hay dificultades para intentar que una empresa cumpla con una amplia variedad de especificaciones técnicas y de privacidad y encontrar recursos internos para hacerlo es una tarea desalentadora», dijo de la Lama. “Y cuando intentas replicar eso en varias jurisdicciones, vemos que muchas compañías simplemente intentan entender cómo hacerlo, sabiendo que GDPR no es el juego final, sino realmente el comienzo. »