En la apertura estatal del parlamento el 10 de mayo, el Príncipe de Gales anunció la intención del gobierno de reformar el régimen de protección de datos del Reino Unido. Desde Brexit, esto ha incluido dos leyes complementarias: el RGPD (Reglamento general de protección de datos) del Reino Unido y el DPA (Ley de protección de datos) de 2018.
El RGPD del Reino Unido se aplica tanto a las organizaciones del Reino Unido que recopilan, almacenan o procesan de otro modo los datos personales de las personas que residen en el Reino Unido, como a las organizaciones fuera del Reino Unido que ofrecen bienes o servicios a los residentes del Reino Unido o controlan su comportamiento. Como sugiere su nombre, el RGPD del Reino Unido se basa en el RGPD de la UE, que se aplicó en el Reino Unido antes del Brexit, y es sustancialmente similar al mismo.
El DPA 2018 es compatible con el RGPD del Reino Unido y se aplica a ciertos tipos de procesamiento que están fuera del alcance del Reglamento, incluido el procesamiento por parte de las autoridades públicas. El DPA 2018 también establece regímenes de procesamiento de datos para procesos de inteligencia y procesamiento policial.
El RGPD se originó en la UE, aunque con aportes significativos de expertos del Reino Unido y la autoridad de protección de datos del Reino Unido, la Oficina del Comisionado de Información (ICO), por lo que el gobierno de Boris Johnson, elegido con la promesa de lograr el Brexit y reducir la burocracia de la UE, lleva mucho tiempo lo destinó a reforma.
De acuerdo con las notas informativas oficiales para el discurso de la reina, la reforma del RGPD y la DPA del Reino Unido de 2018 debería “crear más de 1.000 millones de libras esterlinas en ahorros comerciales durante 10 años mediante la reducción de las cargas sobre las empresas de todos los tamaños”, como el “papeleo excesivo” y otras obligaciones que tienen “poco beneficio para los ciudadanos”.
Ya se ha publicado el resultado de la consulta del Departamento de Digital, Cultura, Medios y Deporte sobre la reforma de la protección de datos y ya se conocen las principales recomendaciones que se llevarán a la legislación.
En esencia, estas propuestas buscan disminuir la carga administrativa de las organizaciones (reduciendo la “burocracia”), manteniendo al mismo tiempo un nivel adecuado de protección de los derechos de las personas.
Los requisitos clave son los siguientes.
Las organizaciones deben implementar programas de gestión de la privacidad
Mantener el principio de responsabilidad es clave, y se pretende mantenerlo mediante la implementación de un programa de gestión de la privacidad, que debe ser proporcional al riesgo creado por las actividades de procesamiento de protección de datos de la organización. El gobierno cree que dichos programas “pondrán mayor énfasis en los principios fundamentales de la rendición de cuentas, como la responsabilidad organizacional; gestión de riesgos; transparencia; formación y sensibilización del personal; y seguimiento, evaluación y mejora continua de la gestión de la protección de datos dentro de una organización”.
En la práctica, este suele ser el enfoque adoptado por organizaciones más grandes o más complejas. Este enfoque más amplio es bienvenido, ya que alentará a muchas organizaciones más pequeñas que quizás actualmente no hacen lo suficiente para revisar y modificar su práctica a fin de introducir un programa de protección de datos más apropiado.
Eliminación del requisito de designar un DPD
El artículo 37 del RGPD del Reino Unido exige que se designe un oficial de protección de datos (DPO) en ciertas circunstancias específicas. Actualmente, no es obligatorio para la gran mayoría de las organizaciones del Reino Unido designar un DPO.
Un delegado de protección de datos es responsable de:
- Representar o delegar representante ante el ICO y titulares de los datos.
- Garantizar la supervisión y el apoyo apropiados para el programa y nombrar al personal adecuado.
- Brindar capacitación personalizada para garantizar que el personal comprenda las políticas de la organización.
- Auditar periódicamente la eficacia del programa.
La nueva propuesta es que las organizaciones deben designar a una “persona responsable superior” como oficial de protección de datos. El gobierno espera que esto “cambiará el énfasis para garantizar que la protección de datos se establezca en un nivel superior para incorporar una cultura de protección de datos en toda la organización”.
Si bien esta es una propuesta de “título”, probablemente no hará una diferencia sustancial en la carga administrativa para muchas organizaciones. El desafío clave será garantizar que el “individuo responsable superior” tenga un conocimiento práctico adecuado de la ley y la protección de datos para desempeñar sus funciones de manera efectiva.
En la práctica, estamos seguros de que muchas organizaciones seguirán delegando el detalle de gestionar sus programas de protección de datos en profesionales experimentados. El gobierno sugiere que “algunas organizaciones que procesan grandes volúmenes de datos altamente confidenciales podrían continuar designando y asignando recursos a los oficiales de protección de datos cuando consideren que es la mejor manera de monitorear y mejorar el cumplimiento”.
Un enfoque más flexible de las DPIA
El artículo 35 del RGPD del Reino Unido exige que las organizaciones lleven a cabo una evaluación de impacto de protección de datos (DPIA) cuando es probable que un tipo de procesamiento resulte en un alto riesgo para los derechos y libertades de los interesados. El gobierno está legislando para eliminar el requisito obligatorio de realizar DPIA para procesamiento de alto riesgo, ya que cree que “las evaluaciones de impacto de protección de datos pueden ser una duplicación más prescriptiva de otras evaluaciones de riesgo que logran el mismo resultado realizado dentro de una organización; por ejemplo, organizaciones que tienen equipos de cumplimiento que realizan análisis de riesgos más amplios que a veces terminan duplicando algunos de los requisitos bajo el requisito de evaluación de impacto de protección de datos”.
Aparte de una DPIA o un programa específico de riesgo de privacidad, es extremadamente raro encontrar una evaluación de riesgo en una organización que reconozca los riesgos para los derechos de protección de datos individuales. Por esta razón, es muy poco probable que este cambio sea material. De hecho, puede aumentar la carga administrativa de las organizaciones al ampliar el requisito de “garantizar que existan herramientas de evaluación de riesgos para la identificación, evaluación y mitigación de los riesgos de protección de datos en toda la organización” como parte de su programa de gestión de la privacidad.
Sin embargo, el mayor enfoque en las evaluaciones de riesgo formales que inevitablemente traerá esta legislación es bienvenido.
Cambios en el requisito de mantener registros de las actividades de procesamiento de datos
El artículo 30 del RGPD del Reino Unido requiere que los controladores de datos mantengan registros específicos de su procesamiento de protección de datos. El gobierno legislará para reemplazar este requisito con un requisito más general en el que “las organizaciones deberán tener inventarios de datos personales como parte de su programa de gestión de la privacidad que describa qué y dónde se guardan los datos personales, por qué se han recopilado y qué tan confidenciales son”. ”.
Superficialmente, esto parecería ser una simplificación del requisito existente, eliminando la necesidad de documentar algunas de las características existentes del procesamiento, por ejemplo, los plazos previstos, las transferencias internacionales y las garantías adecuadas. Sin embargo, en la práctica, muchos de estos atributos deberán mantenerse para un programa de gestión de la privacidad eficaz y las evaluaciones de riesgos asociadas. Cuesta imaginar cómo esta propuesta supone un ahorro material en la gestión de las organizaciones y, lamentablemente, parece un reordenamiento de las tumbonas.
Otros cambios relacionados con el RGPD
Se están legislando otros cambios al régimen existente basado en el RGPD que no tendrán un impacto significativo en la gran mayoría de las organizaciones. Estos incluyen un cambio de consultas obligatorias a consultas voluntarias con el ICO en relación con el nuevo procesamiento de datos de alto riesgo, y cambiar el umbral actual para rechazar o cobrar una tarifa razonable por una solicitud de acceso de sujeto de “manifiestamente infundado o excesivo” a “vejatorio o molesto”. excesivo”, lo que lo adecuará al régimen de Libertad de Información.
Cambios en PECR y cookies
La consulta también se centró en gran medida en la revisión de los controles introducidos por las Regulaciones de Privacidad y Comunicaciones Electrónicas (PECR), en particular, el requisito de mostrar anuncios de cookies en los sitios web.
El gobierno introducirá una legislación para eliminar la necesidad de que los sitios web (y otros dispositivos conectados) muestren anuncios de cookies a los residentes del Reino Unido y “en un plazo inmediato, el gobierno permitirá que las cookies (y tecnologías similares) se coloquen en el dispositivo de un usuario sin autorización explícita. consentimiento, para un pequeño número de otros fines no intrusivos”. El ejemplo citado es para análisis de sitios web.
Curiosamente, el gobierno también requerirá que los sitios web respeten las señales automáticas emitidas por los navegadores y tiene la intención de “pasar a un modelo de consentimiento de exclusión voluntaria para las cookies solo cuando el gobierno evalúe que estas soluciones están ampliamente disponibles para su uso”.
Cualquier cosa que brinde mayor claridad a las organizaciones sobre dónde se pueden usar las cookies sin un consentimiento específico es bienvenida. Sin embargo, aún no está claro qué se permitirá. Imaginamos que las cookies intrusivas en la privacidad, como las que rastrean el comportamiento de un usuario identificable o permiten el marketing entre sitios, aún requerirán un consentimiento activo y, por lo tanto, un banner. También veo el requisito de respetar las señales de “no rastrear” de los navegadores como una claridad útil.
Hay buenas noticias para las organizaciones benéficas y otras organizaciones no comerciales, a las que se les permitirá beneficiarse del llamado “soft-opt-in”. Esto permitirá un régimen de exclusión voluntaria para las comunicaciones de marketing, pero “paralelamente, tomará medidas para garantizar que se implementen las salvaguardas adecuadas para proteger a las personas que no desean continuar recibiendo comunicaciones”.
Quizás el elemento más alentador de esta propuesta es la intención del gobierno de introducir el mismo nivel de multas por incumplimiento del PECR que para el RGPD. Esto hará que la amenaza de una multa de facturación global del 4% por el mal comportamiento de las cookies se centre claramente, junto con otras malas prácticas de comunicación de marketing.
Transferencias internacionales de datos
Actualmente, las reglas relativas a las transferencias internacionales de datos en virtud de la legislación equivalente al RGPD pueden ser muy complejas de gestionar. El gobierno tiene la intención de alejarse de las estructuras existentes basadas en el RGPD y “tiene la intención de crear un marco autónomo para las transferencias internacionales de datos que refleje el enfoque independiente del Reino Unido para la protección de datos, que ayude a impulsar el comercio internacional, el comercio y el desarrollo y respalde los negocios modernos”. transacciones e instituciones financieras. El enfoque del Reino Unido estará impulsado por los resultados para las personas y las organizaciones”.
Esta es probablemente el área más polémica que se abordará en la legislación propuesta. Claramente, es un área en la que el Reino Unido tiene la intención de salirse de la alineación con los arreglos de adecuación actuales y, por lo tanto, es probable que esté sujeto a un intenso escrutinio, particularmente si los cambios sugeridos permitirán que los datos de los ciudadanos del Reino Unido viajen más fácilmente (y con menos transparencia). ) a condados con regímenes de protección de datos menos rigurosos, lo que podría reducir el nivel general de protección de datos que actualmente se otorga a los interesados.
Conclusiones
Cuando se analizan en detalle, los cambios individuales propuestos no parecen ser tan significativos como su conjunto podría sugerir. Es muy probable que las organizaciones aún tengan que asumir niveles de administración muy similares. Por ejemplo, si los requisitos del artículo 35 cambian y se reemplazan las DPIA, esto puede verse superado por la necesidad de que las organizaciones cuenten con un sistema de gestión de la privacidad demostrable y proporcionado. Se agradece el cambio a un régimen de evaluación de riesgos más centralizado y cohesivo, al igual que la claridad sobre las cookies y el gran aumento de las multas por infringir el PECR.
Para comprender completamente el impacto en los derechos de las personas, tendremos que esperar para obtener más detalles. Sin embargo, los principios generales de la propuesta parecen respaldar estos derechos y continuar garantizando que las organizaciones sean totalmente responsables de su implementación. Los que hay que vigilar, donde puede haber un riesgo de erosión de los derechos individuales, incluyen los detalles sobre las cookies permitidas y los detalles sobre las transferencias internacionales.
Peter Galdies es fundador y consultor sénior de DQM GRC. Es un profesional de datos y tecnología con más de 30 años de experiencia, brindando asesoramiento experto sobre la implementación de la privacidad en situaciones comerciales reales, con un énfasis particular en la privacidad desde el diseño. DQM GRC es una consultoría especializada en protección de datos y privacidad. Forma parte de GRC International Group y cuenta con 25 años de experiencia en regulación y prácticas de datos.