Los planes del gobierno del Reino Unido para reformar las leyes de protección de datos han sido criticados por activistas y abogados por dar demasiado poder a los ministros sobre la privacidad y el intercambio de datos, así como por reducir los derechos y salvaguardas digitales.
El proyecto de ley de protección de datos e información digital, que se presentó al Parlamento el 18 de julio de 2022, proporciona más detalles sobre las reformas en el panorama de protección de datos posterior al Brexit del Reino Unido.
Si bien el gobierno afirma que las reformas protegerán mejor a los ciudadanos y aliviarán a las empresas, los abogados y los grupos de la sociedad civil están preocupados de que los cambios puedan conducir a un estándar más bajo de protección de datos y socavar los derechos digitales contenidos en el Reglamento General de Protección de Datos (GDPR) del Reino Unido y el Ley de Protección de Datos 2018.
Anteriormente conocido como el Proyecto de Ley de Reforma de Datos, el proyecto de ley actualizado fue descrito por Matt Warman, ministro de Medios, Datos e Infraestructura Digital, como una “oportunidad para aprovechar los beneficios del Brexit y transformar las leyes de datos independientes del Reino Unido”.
Warman dijo que las cargas de los requisitos de protección de datos actuales del Reino Unido han impedido que las empresas se den cuenta de los beneficios de un mayor uso de datos personales, y agregó: datos personales de la forma más proporcionada y adecuada. Nuestros cambios podrían generar alrededor de £ 1 mil millones en ahorros comerciales durante 10 años.
“El proyecto de ley sostendrá y ampliará el enfoque del Reino Unido para respaldar los flujos de datos internacionales al capitalizar su estado independiente para establecer asociaciones con algunas de las economías de más rápido crecimiento del mundo. Las reformas garantizarán que los mecanismos para transferir datos personales a nivel internacional sean seguros y flexibles para ayudar a las empresas británicas a crecer”.
La presentación del proyecto de ley de 192 páginas se produce un mes después de que el gobierno publicara su respuesta oficial a una consulta sobre el proyecto de ley de reforma de datos en junio de 2022, en la que se comprometía a seguir adelante con una serie de cambios en la protección de datos del Reino Unido posterior al Brexit. estructura.
Los cambios sugeridos incluyeron eliminar los requisitos de las organizaciones para designar oficiales de protección de datos (DPO), eliminar la necesidad de evaluaciones de impacto de protección de datos obligatorias (DPIA), introducir un “régimen de tarifas” para solicitudes de acceso de sujetos (SAR) y eliminar el requisito de revisar datos decisiones de adecuación cada cuatro años. Todos estos ahora están incluidos en el proyecto de ley actualizado de alguna forma.
“Ahora tenemos la confirmación de cómo se pretende que sea el marco de datos post-GDPR del Reino Unido”, dijo Edward Machin, abogado senior en la práctica de datos, privacidad y seguridad cibernética de Ropes & Gray. “Pellizcos y pliegues en lugar de un lavado de cara completo, aunque muchos de los pequeños cambios podrían tener efectos significativos en la práctica y probablemente no pasarán desapercibidos a medida que el proyecto de ley avance en el Parlamento.
“El RGPD no es perfecto y sería una tontería que el Reino Unido no aprendiera de esas lecciones en su propio enfoque, pero está caminando en la cuerda floja entre las mejoras al marco actual y los cambios de desempeño con el fin de acabar con la burocracia de Bruselas. Mis impresiones iniciales del proyecto de ley son que el gobierno ha logrado el equilibrio a favor de las empresas y ha pasado por alto algunas preocupaciones de la sociedad civil, por lo que creo que la reducción de los derechos y las garantías para las personas serán áreas que se revisarán antes de que se finalice el proyecto de ley. ”
También existe la preocupación de que la dirección de viaje que está tomando el Reino Unido pueda hacer que pierda su estado de adecuación de datos con la Unión Europea (UE), lo que permite el libre flujo continuo de datos entre las empresas del Reino Unido y las del bloque.
La Comisión Europea otorgó la adecuación de datos del Reino Unido en junio de 2021, pero advirtió que aún puede revocarse si las nuevas reglas de protección de datos del Reino Unido difieren significativamente de las de la UE.
Los eurodiputados también han argumentado anteriormente que las leyes del Reino Unido que permiten a las agencias gubernamentales acceder y retener datos masivos sobre personas que no están bajo sospecha son incompatibles con el RGPD, y que el intercambio de datos entre la agencia de inteligencia de señales del Reino Unido GCHQ y la Agencia de Seguridad Nacional de los EE. ciudadanos o residentes de la UE”.
Pero Warman dijo: “La UE no requiere que los países tengan las mismas reglas para garantizar la adecuación, por lo que creemos que estas reformas son compatibles con mantener un flujo libre de datos personales desde el Espacio Económico Europeo”.
Más cambios
Si bien la respuesta a la consulta de junio de 2022 anticipó muchos de los cambios previstos en la ley de protección de datos del Reino Unido, el proyecto de ley actualizado entra en más detalles y realiza una serie de cambios adicionales que no se anunciaron previamente.
Por ejemplo, una de las adiciones más significativas al Proyecto de Ley es que haría lícito cualquier tratamiento de datos si se lleva a cabo para un “interés legítimo reconocido”, que se enumeran en el Anexo 1 del texto del Proyecto de Ley. En su forma actual, los intereses legítimos que brindan una base legal para el procesamiento de datos incluyen: seguridad nacional, seguridad pública y defensa; emergencias y delincuencia; salvaguardar a las personas vulnerables; y compromiso democrático.
Sin embargo, el proyecto de ley también otorgaría al secretario de Estado amplios poderes para ampliar o reducir la lista de intereses legítimos que las organizaciones pueden utilizar como base para el procesamiento de datos, así como para enmendar casi cualquier aspecto de la legislación a través de más regulaciones, eludiendo así las leyes parlamentarias. debate sobre cambios futuros.
Mariano delli Santioficial legal y de políticas de Open Rights Group (ORG), dijo: “El proyecto de ley eliminará la prueba de equilibrio para los usos de datos basados en [a list of] intereses legítimos. Es decir, se considerará legítimo un interés aunque sea perjudicial. El gobierno tendrá el poder de enmendar esta lista tan pronto como miremos hacia otro lado”.
Agregó: “Esto se traduce como: el gobierno quiere tener el poder de establecer bases legales arbitrarias para usos de datos que carecen de definición, previsibilidad y salvaguardas contra abusos. Se le pedirá al parlamento que apruebe lo que propone el gobierno”.
Además de los nuevos poderes para el secretario de Estado, el proyecto de ley también contiene disposiciones para diluir las restricciones del Artículo 22 del RGPD que protegen a las personas de la toma de decisiones únicamente automatizada.
El gobierno confirmó en su respuesta a la consulta que no seguirá una propuesta para eliminar por completo el Artículo 22, pero dijo que estaba considerando cómo enmendar el artículo para aclarar cómo se aplica en la práctica. “Las reformas presentarán el Artículo 22 como un derecho a garantías específicas, en lugar de una prohibición general sobre la toma de decisiones únicamente automatizada”, dijo. “Las reformas permitirán el despliegue de la toma de decisiones automatizada impulsada por IA, brindando un margen para la innovación con las salvaguardas adecuadas en su lugar”.
En respuesta a la introducción del proyecto de ley, Michael Veale, profesor asociado de derechos digitales y regulación en UCL, tuiteó: “El artículo 22, sobre la toma de decisiones automatizada, se ha ido, reemplazado por tres artículos que en efecto dicen que las decisiones automáticas significativas normales nunca están prohibidas pero obtienen algunas garantías ya presentes; las decisiones basadas en el origen étnico, la sexualidad, etc. requieren una base legal”.
Una vez más, el secretario de estado tendrá poderes para enmendar más el Artículo 22, incluso agregando o cambiando los requisitos de protección.
También hay una serie de cambios importantes en los requisitos de protección de datos específicos de las fuerzas del orden, que se establecieron por primera vez en la Parte Tres de la Ley de Protección de Datos de 2018.
Estos incluyen: las organizaciones policiales y de justicia penal ya no están obligadas a registrar una justificación de por qué han accedido a registros de datos específicos; ya no está obligado a informar a las personas que han estado sujetas a la toma de decisiones automatizada, lo que el gobierno ha justificado diciendo que “podría correr el riesgo de prejuzgar una investigación activa al alertar a un individuo”; y extender el tiempo en el que los organismos encargados de hacer cumplir la ley tienen que responder a las solicitudes de acceso a la información por dos meses completos.
Según las notas explicativas publicadas por el gobierno junto con el proyecto de ley, también “introduciría un poder que permitiría al secretario de estado emitir un aviso que designe a algunas autoridades competentes específicas para procesar datos junto con los servicios de inteligencia en virtud de la Parte 4 de la DPA. 2018 con fines de seguridad nacional”.
ORG ha dicho que esto significa que “se permitirá el intercambio masivo de datos con las agencias de aplicación de la ley sin los controles y equilibrios adecuados”, convirtiendo al Reino Unido en un “estado policial digital”.
Cambios de supervisión
Las notas agregan que el proyecto de ley también “suprimirá los cargos de Comisionados de Cámaras de Vigilancia y Biometría, y el Código de Cámaras de Vigilancia. La Oficina del Comisionado de Información (ICO), que cubre el uso de todos los datos personales por parte de todos los organismos, permanece en su lugar. El proyecto de ley transferiría estas funciones de revisión al Comisionado de Facultades de Investigación”.
Si bien las notas reconocen que “los arreglos de supervisión actuales para el uso policial de la biometría para ayudar a identificar y eliminar a los sospechosos son complejos y confusos para la policía (como controladores) y el público en general”, el gobierno rechazó recientemente los hallazgos y recomendaciones de una Cámara de Representantes. La investigación de los Lores sobre el uso de tecnología emergente por parte de la policía, que exigió una revisión de cómo la policía implementa la inteligencia artificial y las tecnologías algorítmicas, afirmando que ya existe “una red integral de controles y equilibrios”.
En cuanto al ICO, el Gobierno pretende limitar su independencia otorgándose la potestad de fijar y recortar el salario del comisario, obligándolo a tener en cuenta las prioridades del Gobierno en el ejercicio de sus funciones reguladoras, que se plasmarán en una “declaración de prioridades” oficial. ” – y haciendo que el secretario de estado deba aprobar cualquier código de práctica legal antes de que se presente ante el Parlamento.
El ICO también tendrá nuevos deberes de fomento de la innovación y la competencia en el ejercicio de sus funciones de protección de datos.
ORG dijo en una publicación de blog que los cambios en la ICO y sus funciones “codificarán el amiguismo en ley”, y agregó: “En un momento en que los datos personales pueden aprovecharse para hacer todo tipo de cosas incorrectas, representando la protección de datos como una carga. está mal, es irresponsable y negligente”.
Sobre los cambios en la ICO, Machin de Ropes & Gray agregó: “Es decepcionante que el gobierno se haya apegado a su punto de vista de que el Parlamento necesita una mayor influencia sobre la ICO, particularmente porque diluir la libertad regulatoria mientras se proclama la independencia del Reino Unido huele a hipocresía. El ICO no es un regulador de gatillo fácil o somnoliento, por lo que es difícil ver la lógica de un cambio que corre el riesgo de socavar su estado en el escenario global por un beneficio doméstico insignificante”.
El proyecto de ley también “establecerá un organismo corporativo, la Comisión de Información, para reemplazar al anterior regulador, el Comisionado de Información, que está estructurado como una corporación única”.
Las notas agregan: “La naturaleza del rol y las responsabilidades del regulador permanecen fundamentalmente sin cambios. Se suprime la oficina del Comisionado de Información y se prevé la transferencia de funciones, etc., del Comisionado de Información al nuevo organismo, y para que el Comisionado de Información actual haga la transición al cargo de presidente de la Comisión de Información”.
El 14 de julio de 2022, el ICO dio a conocer su plan regulatorio de tres años, que incluía propuestas para analizar el impacto de las llamadas de marketing depredadoras, volver a examinar el uso de algoritmos en el sistema de beneficios, considerar el impacto que el uso de IA en el reclutamiento podría tener en ciertos grupos, y profundizar su apoyo regulatorio continuo a la privacidad en línea de los niños.
