Estado de GDPR en 2021: actualizaciones clave y lo que significan

Publicado: 2022-03-10
Resumen rápido ↬ Como profesionales digitales, el RGPD ha impactado cada faceta de nuestra vida profesional y personal. Ya sea que sea adicto a Instagram, envíe mensajes a su familia en WhatsApp, compre productos de Etsy o obtenga información de Google, nadie ha escapado a las reglas que se introdujeron en 2018.

Las directivas de la UE han afectado prácticamente a todos los profesionales digitales, ya que los productos y servicios están diseñados teniendo en cuenta el RGPD, independientemente de si es una empresa de diseño web en Wisconsin o un vendedor en Malta. Las implicaciones de gran alcance de GDPR no solo afectan cómo se deben procesar los datos, cómo se deben construir los productos y cómo se transfieren los datos de forma segura dentro y entre organizaciones. Define acuerdos internacionales de transferencia de datos como el que existe entre Europa y América.

Kevin Kelly, uno de los futuristas digitales más brillantes del mundo, afirma que "la tecnología es una fuerza tan grande como la naturaleza". Lo que quiere decir con eso es que los datos de usuario y la tecnología de la información están causando uno de los períodos más profundos en la historia humana desde la invención del lenguaje. Solo mire lo que está sucediendo mientras los gobiernos y las multinacionales tecnológicas luchan por controlar Internet.

Solo la semana pasada, cuando el gobierno australiano tomó medidas para obligar a los propietarios de la plataforma a pagar a los editores por el contenido que se comparte en su plataforma, Facebook decidió bloquear las noticias para los usuarios australianos con un gran alboroto por parte del gobierno australiano.

Y eso se suma a las controversias anteriores (la organización de los disturbios en el Capitolio de EE. UU., el escándalo de Cambridge Analytica) en la intersección donde se encuentran el gobierno y la tecnología.

En este artículo, veremos cómo ha evolucionado el RGPD desde 2018. Revisaremos algunas actualizaciones de la UE, algunos desarrollos clave y dónde es probable que evolucione el RGPD. Exploraremos lo que eso significa para nosotros , como diseñadores y desarrolladores. Y veremos lo que eso significa para las empresas tanto dentro como fuera de la UE.

En el próximo artículo, nos centraremos en el consentimiento de las cookies y la paradoja en la que los especialistas en marketing dependen en gran medida de los datos de las cookies de Google Analytics, pero deben cumplir con las normas. Y luego profundizaremos en el seguimiento de anuncios propios a medida que comencemos a ver que se alejan de las cookies de terceros.

  • Parte 1: GDPR, actualizaciones clave y lo que significan
  • Parte 2: Consentimiento de cookies para diseñadores y desarrolladores

Un resumen rápido de GDPR

Empecemos recordándonos qué es el RGPD. El RGPD se convirtió en ley dentro de la UE el 25 de mayo de 2018. Se basa en 7 principios clave:

  1. Legalidad, equidad y transparencia
    Debe procesar los datos para que las personas entiendan qué, cómo y por qué está procesando sus datos.
  2. Limitación de propósito
    Solo debe recopilar datos para fines claros, específicos y legítimos. Entonces no puede procesarlo de manera que sea incompatible con sus propósitos originales.
  3. Minimización de datos
    Solo debe recopilar los datos que necesita.
  4. Exactitud
    Sus datos deben ser exactos y mantenerse actualizados. Los datos inexactos deben borrarse o corregirse.
  5. Limitación de almacenamiento
    Si los datos pueden vincularse a individuos, solo puede conservarlos durante el tiempo que necesite para llevar a cabo los fines que especificó. (Advertencias para el uso de investigaciones científicas, estadísticas o históricas).
  6. Integridad y confidencialidad (es decir, seguridad)
    Debe asegurarse de que los datos personales que posee se procesen de forma segura. Debe protegerlo contra el procesamiento no autorizado o ilegal y contra la pérdida, destrucción o daño accidental.
  7. Responsabilidad
    Ahora eres responsable de los datos que posees y deberías poder demostrar que cumples con el RGPD.
Diagrama que muestra los siete principios de GDPR: legalidad, integridad, almacenamiento y limitaciones de propósito, minimización y precisión de datos, y responsabilidad, superpuestos con transparencia, privacidad y controles
Los principios de GDPR se basan en la transparencia, la privacidad y el control del usuario. (Crédito de la imagen: Cyber-Duck) (Vista previa grande)

Algunas definiciones

  • TJUE
    Tribunal de Justicia de la Unión Europea. Las decisiones de este tribunal aclaran las leyes de la UE como el RGPD.
  • DPA
    Autoridades Nacionales de Protección de Datos. Cada país de la UE tiene uno. Estos organismos aplican el RGPD y emiten multas a nivel nacional. El equivalente en el Reino Unido es la Oficina del Comisionado de Información (ICO). En los Estados Unidos, la privacidad de datos al estilo del RGPD está legislada en gran medida por cada estado.
  • Comisión Europea
    El poder ejecutivo de la Unión Europea (esencialmente, el servicio civil de la UE). La Comisión Europea redacta legislación que incluye el RGPD.
  • RGPD
    El Reglamento General de Protección de Datos de 2018.

Actualizaciones clave de la UE

GDPR no se ha detenido desde mayo de 2018. Aquí hay un resumen rápido de lo que sucedió desde que entró en vigencia.

¿Cómo han implementado la UE y sus Estados miembros el RGPD?

La Comisión Europea informa que GDPR se implementa casi por completo en toda la UE, aunque algunos países, como Eslovenia, se han demorado. Sin embargo, la profundidad de la implementación varía. La UE también dice que sus países miembros, en su opinión, están usando sus nuevos poderes de manera justa.

Sin embargo, también ha expresado su preocupación por la aparición de cierta divergencia y fragmentación. El RGPD solo puede funcionar de manera efectiva en el mercado único de la UE si los estados miembros están alineados . Si las leyes divergen, enturbia el agua.

¿Cómo quiere la UE que se desarrolle el RGPD?

Sabemos que la UE quiere que sea más fácil para las personas ejercer sus derechos en virtud del RGPD. Eso significa colaboración transfronteriza y demandas colectivas . Quiere ver la portabilidad de datos para los consumidores más allá de la banca y las telecomunicaciones.

También quiere facilitar que las pequeñas y medianas empresas ( PYME ) cumplan con el RGPD. Es probable que eso venga en forma de apoyo y herramientas adicionales, como cláusulas contractuales más estándar, esencialmente jerga legal con plantillas que las PYME pueden copiar y pegar en los contratos, ya que la UE no está dispuesta a modificar las reglas para ellos.

Gran desarrollo n.º 1: la definición inesperadamente amplia de 'controlador conjunto'

Correcto, aquí está el primer gran cambio desde que GDPR se convirtió en ley. En dos casos de prueba que involucran a Facebook, el Tribunal de Justicia de la Unión Europea definió una interpretación mucho más amplia de lo esperado de 'controlador conjunto'.

Una situación de controlador conjunto surge cuando dos o más controladores tienen la responsabilidad de cumplir con los términos del RGPD. (Aquí hay una buena explicación del ICO sobre controladores conjuntos). Esencialmente:

  • Cuando procesa los datos de los clientes, decide con sus compañeros controladores conjuntos quién administrará cada paso para que cumpla con el RGPD.
  • Sin embargo, todos tienen la responsabilidad total de garantizar que todo el proceso cumpla con los requisitos . Cada uno de ustedes es completamente responsable ante la autoridad de protección de datos del país que maneja cualquier queja.
  • Un particular puede presentar una denuncia contra todos y cada uno de los cocontroladores.
  • Todos ustedes son responsables de cualquier daño causado, a menos que puedan probar que no tienen conexión con el evento que causó el daño.
  • Un individuo puede buscar una compensación de cualquier controlador conjunto. Es posible que pueda reclamar parte de esa compensación de sus compañeros controladores.

En el primer caso de Facebook, el TJUE confirmó que una empresa que administraba una página de fans en Facebook contaba como controlador conjunto junto con Facebook. En el segundo, el TJUE también confirmó que una empresa que insertó un botón Me gusta de Facebook en su sitio web tenía el estatus de controlador conjunto con la red social.

Estos casos conmocionaron a la comunidad de privacidad, ya que esencialmente hace que los editores sociales, los operadores de sitios web y los moderadores de páginas de fans sean responsables de los datos de los usuarios junto con plataformas como Facebook.

Sin embargo, el TJUE también aclaró que la responsabilidad compartida no significa igual responsabilidad . En ambos casos, la responsabilidad recaía principalmente en Facebook: solo Facebook tenía acceso a los datos y solo Facebook podía eliminarlos. Por lo tanto, el impacto de esta decisión puede ser menos grave de lo que parece al principio, pero sigue siendo de vital importancia.

Y esa podría ser la razón por la que algunos sitios, como el sitio web de la presidencia alemana de la UE de 2020, bloquean el contenido social incrustado de forma predeterminada, hasta que haya optado específicamente por participar:

Captura de pantalla de eu2020.de que muestra el contenido de la fuente social bloqueado hasta que se active el seguimiento de terceros
Algunos sitios están comenzando a bloquear las fuentes sociales integradas para que no aparezcan en sus sitios de forma predeterminada, ofreciendo a los usuarios la opción de optar por el seguimiento. (Vista previa grande)

Gran desarrollo n.º 2: adiós Escudo de privacidad, hola CPRA

El segundo gran cambio era más predecible: el Escudo de privacidad , el mecanismo que facilitaba a las empresas estadounidenses el procesamiento de datos de clientes europeos, ha sido anulado por los tribunales.

Este es el por qué.

La UE quiere proteger los datos personales de sus ciudadanos. Sin embargo, también quiere fomentar el comercio internacional, además de la colaboración transfronteriza en áreas como la seguridad.

La UE se ve a sí misma, con razón, como pionera en la protección de datos. Por lo tanto, está usando su fuerza política para alentar a los países que desean comerciar con el bloque a cumplir con sus estándares de privacidad de datos.

Entra en los Estados Unidos. Las filosofías europeas y estadounidenses sobre la privacidad de los datos son diametralmente opuestas . (En esencia, la visión europea es que los datos personales son privados a menos que usted dé un permiso explícito. La visión estadounidense es que sus datos son públicos a menos que solicite expresamente que se mantengan privados). Pero como los dos mercados de consumo más grandes del mundo, necesitan comercio. Entonces, la UE y los EE. UU. desarrollaron el Escudo de Privacidad.

El Escudo de privacidad se diseñó para permitir que las empresas estadounidenses procesen los datos de los ciudadanos de la UE, siempre que esas empresas se suscriban a sus estándares de privacidad más altos.

Pero según la ley estadounidense, el gobierno de los EE. UU. aún podría monitorear esos datos. Esto fue impugnado en un caso presentado por el defensor de la privacidad austriaco Max Schrems. El TJUE se puso del lado de él: se anuló el Escudo de privacidad y las 5.300 PYME estadounidenses que usaban el Escudo de privacidad no tuvieron más remedio que adoptar las Cláusulas contractuales estándar prescritas por la UE.

Obviamente, es del interés de todos que se reemplace el Escudo de privacidad, y así será. Pero los expertos dicen que es probable que su reemplazo sea derribado nuevamente a su debido tiempo porque los enfoques europeo y estadounidense de la privacidad son esencialmente incompatibles.

Mientras tanto, en California, la Ley de Privacidad del Consumidor de California (CCPA) inspirada en el RGPD de 2018 se fortaleció en noviembre de 2020 cuando se aprobó la Ley de Derechos de Privacidad de California (CPRA).

La Ley de Privacidad del Consumidor de California (CCPA)

La CCPA, que entró en vigor en enero de 2020, otorga a los ciudadanos de California el derecho a optar por no vender sus datos . También pueden solicitar que se divulguen los datos recopilados y que se eliminen. A diferencia del RGPD, la CCPA solo se aplica a las empresas comerciales:

  • Que procesan los datos de más de 50,000 residentes de California al año, O
  • Que generan ingresos brutos de más de $25 millones al año, O
  • Que obtienen más de la mitad de sus ingresos anuales de la venta de datos personales de los residentes de California

La Ley de Derechos de Privacidad de California (CPRA)

La CPRA, que entra en vigor en enero de 2023, va más allá de la CCPA . Sus puntos clave incluyen:

  • Eleva el listón a las empresas que procesan los datos de 100.000 residentes de California al año
  • Brinda más protección a los datos confidenciales de los californianos , como su raza, religión, orientación sexual y datos de salud e identificación del gobierno.
  • Triplican las multas por violaciones de datos de menores
  • Otorga a los californianos el derecho a solicitar que se corrijan sus datos
  • Obliga a las empresas a ayudar con las investigaciones de CPRA
  • Y establece una Agencia de Protección de la Privacidad de California para hacer cumplir la CPRA
Gráfico que resume la CPRA
California está endureciendo su legislación de privacidad con la CPRA, a partir de 2023. (Vista previa grande)

Se están produciendo nuevos impulsos hacia las leyes de privacidad en otros estados, y juntos pueden reforzar la necesidad de medidas federales de privacidad bajo la nueva administración de Biden.

Gran desarrollo #3: Consentimiento de cookies

En mayo de 2020, la UE actualizó su guía GDPR para aclarar varios puntos, incluidos dos puntos clave para el consentimiento de cookies:

  • Los muros de cookies no ofrecen a los usuarios una opción genuina, porque si rechaza las cookies, no podrá acceder al contenido. Confirma que no se deben utilizar paredes de cookies.
  • Desplazarse o pasar el dedo por el contenido web no equivale a un consentimiento implícito . La UE reitera que el consentimiento debe ser explícito.

Profundizaré en esto en el segundo artículo la próxima semana.

Aviso de cookies de Cyber-Duck con el seguimiento de anuncios activado de forma predeterminada
La UE ha actualizado su guía sobre el consentimiento de cookies. (Vista previa grande)

Gran desarrollo n.° 4: Google y Apple comienzan a cambiar del seguimiento de terceros

A medida que los grandes actores digitales descubren cómo cumplir con el RGPD, y cómo aprovechar la legislación sobre privacidad, algunos ya han sido criticados.

Tanto Google como Apple se enfrentan a demandas antimonopolio , tras las quejas de empresas y editores de tecnología publicitaria.

En ambos casos, los denunciantes dicen que las grandes empresas tecnológicas están explotando su posición dominante en el mercado.

Una vez más, más sobre esto la próxima vez.

¡Más después del salto! Continúe leyendo a continuación ↓

Gran desarrollo n.º 5: Grandes multas por el RGPD en camino

Por supuesto, muchas organizaciones se lanzaron a cumplir con GDPR porque temían las multas que podrían aplicar los reguladores. Esas multas han comenzado a llegar:

El regulador de datos francés ha impuesto a Google una multa de 50 millones de euros por "falta de transparencia, información inadecuada y falta de consentimiento válido con respecto a la personalización de anuncios", diciendo que los usuarios "no estaban suficientemente informados" sobre cómo y por qué Google recopiló sus datos.

Su equivalente en el Reino Unido, la ICO, ha multado al conglomerado hotelero estadounidense Marriott International Inc. con 18,4 millones de libras esterlinas por no mantener seguros los registros de 339 millones de huéspedes. El ciberataque de 2014 a Starwood Hotels and Resorts Worldwide, Inc., que Marriott adquirió en 2016, no se descubrió hasta 2018.

La ICO del Reino Unido también multó a British Airways con un récord de £ 20 millones por una violación de datos en 2018 de los datos personales y de tarjetas de crédito de 400,000 clientes.

Luego está mi favorito personal, una impactante violación de la confianza de los empleados por parte de H&M que condujo a una multa de 35 millones de euros.

Así que ahí es donde estamos hoy.

¿Qué significa esto para ti?

Como diseñadores y desarrolladores, GDPR tiene, y seguirá teniendo, un gran impacto en los productos que diseñamos y construimos, y la forma en que diseñamos para los datos.

Esto es lo que nosotros, como diseñadores, debemos saber

  • GDPR es fundamental para usted porque diseñará los puntos en los que los usuarios comparten sus datos , qué datos se recopilan y cómo se procesan.
  • Siga las mejores prácticas de Privacidad por diseño. No intente reinventar la rueda: si ha creado un banner de cookies compatible, use su patrón de diseño probado.
  • Trabaje con sus equipos de cumplimiento y desarrollo para garantizar que los diseños cumplan con el RGPD y puedan implementarse. Solo pide los datos que necesites.
  • Finalmente, pregunte a sus usuarios qué datos se sienten cómodos compartiendo y cómo les gustaría que los use. Si lo encuentran espeluznante, revise su enfoque.

Esto es lo que nosotros, como desarrolladores, debemos saber

  • GDPR es fundamental para usted porque permite el procesamiento, el intercambio y las integraciones de datos .
  • Como regla general con GDPR, adopte un enfoque de necesidad de acceso . Comience implementando todo sin acceso, luego solo dé a su equipo acceso a los datos cuando sea necesario (por ejemplo, dando a los desarrolladores acceso a la consola de Google Analytics). Audita y documenta sobre la marcha.
  • Siga los principios de privacidad por diseño y seguridad por diseño. Las plantillas robustas y seguras para implementar la infraestructura son clave.
  • Asegúrese de estar involucrado por adelantado en los aspectos técnicos, por ejemplo, el consentimiento de cookies/seguimiento de conversaciones, para que se pueda implementar lo que se decida.
  • El mapeo de procesos muestra dónde se comparten los datos con diferentes partes del negocio.
  • La automatización ofrece un manejo seguro de datos que reduce el error humano. También ayuda a evitar que las personas equivocadas accedan a los datos.
  • Las listas de verificación de GDPR y, por supuesto, los libros de ejecución lo ayudarán a administrar su proceso. Nuevamente, audite y documente sobre la marcha.

Ahora veamos cómo va a evolucionar el RGPD en un futuro próximo. Nos centraremos en tres áreas.

Tres áreas en las que el RGPD está evolucionando rápidamente

1. Cómo está implementando la UE el RGPD

En primer lugar, veamos cómo se integrará aún más el RGPD en el panorama legislativo.

La UE quiere mantener alineados a sus estados miembros , porque eso facilitará los juicios transfronterizos y la colaboración internacional. Por lo tanto, ha reforzado que los países no deben desviarse ni sobrepasar el RGPD. Algunos estados miembros, como dije, están hablando de boquilla sobre el reglamento. Otros quieren superar los estándares de GDPR.

A cambio de su alineación, la UE exigirá el cumplimiento , trabajará para permitir demandas colectivas y juicios transfronterizos más baratos, y también promoverá la privacidad y estándares consistentes fuera de la UE. Además de soporte adicional y herramientas para PYMES, también podemos ver la certificación de seguridad y protección de datos por diseño.

Finalmente, esto podría sorprender a algunos en Silicon Valley: la UE ha insinuado que podría considerar la prohibición del procesamiento de datos para fomentar el cumplimiento . Las multas de 50 millones de euros no son el fin del mundo para Google y sus amigos. Pero el tiempo muerto en el paso travieso, y las malas relaciones públicas resultantes, es algo muy diferente.

2. Cómo funciona el RGPD con la innovación

GDPR fue diseñado para ser tecnológicamente neutral y para apoyar, no obstaculizar, la innovación. Sin duda, eso se ha probado en los últimos 12 meses, y la UE señala el rápido lanzamiento de las aplicaciones COVID-19 como prueba de que su legislación funciona.

Podemos esperar ver códigos de conducta para categorías sensibles de datos (salud e investigación científica). Estos serán bienvenidos.

Sin embargo, están observando de cerca a los innovadores. La UE ha expresado su preocupación por la privacidad de los datos en video, dispositivos IoT y blockchain. Están particularmente preocupados por el reconocimiento facial (y presumiblemente de voz) y los desarrollos en IA.

En particular, la Comisión está profundamente preocupada por lo que denomina “empresas tecnológicas multinacionales”, “grandes plataformas digitales” y “publicidad en línea y microfocalización”. Sí, una vez más te está mirando a ti, Facebook, Amazon, Google y amigos.

3. Cómo la UE está promoviendo los estándares GDPR más allá de la UE

Nuestra economía digital es global, por lo que el impacto de GDPR se extiende más allá de las fronteras de la UE, y no solo en términos de cumplimiento. La UE está estableciendo el estándar para la legislación de protección de datos en todo el mundo. Más allá de la CCPA de California, vea la LGPD de Brasil, además de desarrollos en Canadá, Australia, India y un puñado de estados estadounidenses.

Por supuesto, redunda en interés de la UE que otros países y bloques comerciales coincidan con sus estándares. Por lo tanto, está promoviendo GDPR a través de varias vías :

  • A través de "decisiones de adecuación mutua" con Japón y, en breve, Corea del Sur
  • Integrado en acuerdos comerciales bilaterales, por ejemplo, con Nueva Zelanda, Australia, Reino Unido
  • A través de foros como la OCDE, ASEAN, el G7 y el G20
  • A través de su Academia de Protección de Datos para reguladores internacionales y de la UE

Está particularmente interesado en potenciar la innovación a través de flujos de datos confiables y permitir la cooperación internacional entre las autoridades encargadas de hacer cumplir la ley y los operadores privados.

La UE es líder mundial en protección de datos. A donde va, otros lo seguirán. Entonces, incluso si no está diseñando/desarrollando para una audiencia de la UE, debe estar al tanto de lo que está sucediendo.

¿Qué significa todo esto para las empresas de la UE?

Las empresas que operan en la UE deben cumplir con GDPR o corren el riesgo de ser multadas. Esas multas pueden ser bastante elevadas, como hemos visto. Por lo tanto, debe poder demostrar que se adhiere a los 7 principios de GDPR y a la orientación específica de su autoridad nacional de protección de datos.

Sin embargo, eso no es tan sencillo como parece, y puede optar por evaluar su riesgo en algunos casos. Te mostraré un ejemplo de eso la próxima vez.

¿Qué significa esto para las empresas con sede fuera de la UE?

Las implicaciones para las empresas con sede fuera de la UE son exactamente las mismas que para los países de la UE , si procesan datos personales de la UE. Esto se debe a que el RGPD se aplica a los datos personales de las personas que residen en la UE. Si desea procesarlo, por ejemplo, para vender a clientes en la UE, debe cumplir con las reglas. De lo contrario, corre el riesgo de ser multado, como Facebook y Google.

Así es como se aplica : si tiene presencia en la UE, como muchas multinacionales, y no paga una multa de GDPR, sus activos de la UE pueden ser embargados. Si no tiene presencia, está obligado en virtud del RGPD a designar un representante en la UE. Cualquier multa se impondrá a través de ese representante. Alternativamente, puede enfrentar una demanda internacional compleja y costosa .

Y aquí es donde se vuelve complejo para todos:

Si su base de clientes incluye personas en la UE y ciudadanos de otros lugares con leyes de privacidad, como el Estado de California, debe cumplir tanto con la Ley de Privacidad del Consumidor de California (CCPA) como con el RGPD. Estos lotes de legislación generalmente se alinean, pero no coinciden.

Tome las galletas, por ejemplo. Según el RGPD, debe obtener el consentimiento activo de un usuario antes de colocar una cookie en su dispositivo, excluyendo aquellas estrictamente necesarias para que su sitio funcione.

Sin embargo, según la CCPA, debe revelar qué datos está recopilando y permitir que su cliente le niegue el permiso para vender sus datos. Pero no tienen que estar de acuerdo activamente en que puedes cobrarlo.

Es por eso que la UE está impulsando estándares internacionales para simplificar el cumplimiento global.

NB : si se encuentra en los Estados Unidos y espera ansiosamente el reemplazo del Escudo de privacidad, es posible que desee tomar una hoja del libro de Microsoft; ellos y otros han declarado que cumplirán con GDPR en lugar de depender de cualquier mecanismo bilateral para habilitar procesamiento de datos.

¿Qué lecciones pueden aprender los diseñadores y desarrolladores web del RGPD?

La regulación de la privacidad llegó para quedarse y afecta todas nuestras prioridades y flujos de trabajo. Aquí hay seis lecciones para recordar mientras trabaja con datos de clientes:

  1. Tuvimos que correr para cumplir con GDPR. Ahora es un maratón.
    Sabemos que GDPR continuará evolucionando junto con la tecnología que pretende regular. Eso significa que las demandas sobre nosotros no seguirán siendo las mismas. No solo eso, sino que GDPR ha inspirado una legislación similar, pero no idéntica, en todo el mundo. Estos requisitos legales están configurados para seguir evolucionando.
  2. El cumplimiento genera una ventaja competitiva.
    Si bien las primeras multas importantes de GDPR han sido deslumbrantes, en realidad es la publicidad negativa la que muchos dicen que es la más dañina. ¿Quién se beneficia de una gran fuga de datos? Los competidores de la empresa. Por otro lado, si incorpora el cumplimiento de GDPR a medida que fortalece sus procesos de diseño y desarrollo, podrá adaptarse mejor a medida que evolucionen las regulaciones.
  3. El cumplimiento de GDPR y mejores resultados de COVID-19 están vinculados por un diseño centrado en el usuario.
    Sabemos que las empresas que habían comenzado su transformación digital pudieron adaptarse mejor a la crisis de COVID-19. El diseño centrado en el usuario también es compatible con GDPR. Tiene el proceso y el enfoque en el cliente que necesita para crear productos que se alineen con la idea de que los datos del cliente son valiosos y deben protegerse. Eso facilitará la evolución de sus productos de acuerdo con la legislación futura.
  4. Puede incorporar el cumplimiento en sus productos digitales.
    La privacidad por diseño llegó para quedarse. Si ya usa el diseño de servicios, puede incluir la información del cliente como una capa de datos en sus planos de servicio. Si no lo hace, ahora es un buen momento para comenzar. El mapeo de dónde se recopilan, procesan y almacenan los datos resalta los puntos débiles donde pueden ocurrir posibles infracciones. Las herramientas de cumplimiento automatizadas ayudarán a reducir la carga de las empresas y además tienen el potencial de hacer que el procesamiento de datos sea más seguro.
  5. GDPR apoya la innovación, si lo hace bien.
    Algunos advierten que el RGPD está asfixiando la innovación al restringir los flujos de datos y, especialmente, al disuadir a las empresas de innovar con datos. Otros señalan oportunidades para innovar con blockchain, IoT e IA de una manera segura y donde los datos están protegidos. ¿La verdad? Sí, por supuesto, puede innovar y cumplir con el RGPD. Pero la ética en la IA es vital: debe respetar a sus clientes y sus datos.
  6. Esté atento a sus socios externos.
    Esto se remonta a la decisión de los controladores conjuntos anterior. Las empresas ahora comparten la responsabilidad de los datos de los clientes con cualquier tercero que los procese y ese procesamiento debe documentarse. Puede esperar que los controles de terceros, el seguimiento y las obligaciones contractuales sean una prioridad para las empresas a partir de ahora.

Así es como podría desarrollarse el RGPD

Uf. Eso es mucho para asimilar. Pero mirando hacia el futuro, aquí es donde apuesto a que veremos cambios.

  1. GDPR continuará evolucionando , con claridad proveniente de casos de prueba y potencialmente más legislación, incluido el Reglamento de privacidad electrónica.
  2. La UE continuará promoviendo la adopción internacional de la ley de privacidad de datos. Veremos a más países adoptar la protección de datos, a menudo integrada en acuerdos comerciales y de seguridad.
  3. Si tenemos suerte, podemos comenzar a ver una convergencia internacional de la legislación sobre privacidad de datos , especialmente si EE. UU. implementa la privacidad de datos a nivel federal.
  4. Pero también veremos más enfrentamientos entre la UE y los EE. UU., debido a sus enfoques opuestos de la privacidad.
  5. Como 'los datos son el nuevo petróleo', podríamos ver más situaciones en las que los usuarios reciben productos y servicios gratuitos regalando datos a través de cookies.
  6. Las empresas se alejarán de las cookies de terceros y se acercarán al seguimiento y la automatización del lado del servidor para cumplir con las normas.
  7. Las empresas adoptarán la privacidad por diseño (PdB) y las herramientas y procesos de diseño de servicios, para ayudarlos a cumplir con múltiples conjuntos de leyes de privacidad.
  8. Y finalmente, y esto es definitivo, veremos más y mayores demandas de privacidad . ¿Quiénes saldrán como ganadores: las grandes empresas tecnológicas o los defensores de la privacidad? Eso no lo sé, pero podemos estar seguros de una cosa: los abogados de privacidad ganarán mucho dinero.

Una palabra final sobre la confianza

El tema que sustenta tanto las comunicaciones de la Comisión Europea como los comentarios de los expertos de la industria es la confianza . Las agencias digitales como la nuestra ahora deben proporcionar evidencia de la seguridad de los datos y el cumplimiento de GDPR, incluso hasta las políticas de capacitación del personal para la protección de datos. Eso es nuevo. La prioridad de la UE es apoyar la innovación y los flujos de datos seguros y protegidos, tanto dentro como fuera de la UE. El cumplimiento de las normas es su solución para esto. Y nosotros, como diseñadores y desarrolladores, tenemos un papel crucial que desempeñar.

  • Parte 1: GDPR, actualizaciones clave y lo que significan
  • Parte 2: Consentimiento de cookies para diseñadores y desarrolladores

Otras lecturas

  • Protección de datos, el sitio de la UE
  • Guía de la ICO del Reino Unido sobre las cookies
  • GDPR Enforcement Tracker, registra las multas aplicadas bajo GDPR
  • Lista de verificación de GDPR, por Cyber-Duck (un excelente lugar para comenzar)
  • Descripción general de la ley de protección de datos en los Estados Unidos, por ICLG
  • Guía de comparación de GDPR y CCPA, por DataGuidance y el Foro del Futuro de la Privacidad
  • CCPA vs CPRA, de IAPP
  • Seguridad por diseño (Amazon)
  • Cómo proteger a sus usuarios con el marco de privacidad por diseño, Heather Burns, Smashing Magazine