Nueva Zelanda ha lanzado un marco de confianza para la identidad digital, un paso crucial hacia la transformación digital del país.
Nuevas leyes que moldean el panorama de la privacidad
La Reglamento General de Protección de Datos (GDPR, General Data Protection Regulation), que se aplica desde 2018 a nivel europeo, es un modelo a seguir por otras normativas alrededor del mundo en materia de privacidad y procesamiento de datos personales. En este artículo, destacaremos algunas de las particularidades más relevantes de distintos marcos regulatorios implantados en los últimos años.
L
a privacidad en la red está en el centro del debate como nunca antes. La protección de los menores de edad, el uso que las empresas hacen de nuestra información personal para vendernos productos o las injerencias de los gobiernos que derivan de toda esa información en plataformas en línea preocupan a la ciudadanía y provocan que las regulaciones al respecto aparezcan y se modifiquen de múltiples maneras. Alemania, China, Nueva Zelanda o Suiza se han afanado por diseñar y mejorar sus marcos regulatorios, adaptándose a su cultura y circunstancias.
California
- Ámbito. El Estado de California estrenó su Ley de Derechos de Privacidad (California Privacy Rights Act, CPRA), en enero de 2023. La CPRA es una versión mejorada y ampliada de la Ley de Protección de datos de los Consumidores (California Consumer Privacy Act, CCPA), que estaba en vigor desde 2018. Es aplicable a empresas que recolectan datos de grandes cantidades de usuarios, 100000 o más, y que obtienen beneficios directos del intercambio de estos.
- SPI. Uno de los puntos más interesantes de los que se ocupa la CPRA es el referente a la Información Personal Sensible (SPI, Sensitive Personal Information), una categoría especial que incluye datos de geolocalización, creencias religiosas, origen étnico, información biométrica, informes de salud o datos sobre sexo u orientación sexual. La SPI requiere un tratamiento de seguridad específico. Los consumidores tienen el derecho de solicitar que se limite su uso.
- Menores. La CPRA considera diversas responsabilidades en cuanto al procesamiento de datos de menores de edad (16 años). Se debe ofrecer la opción de declinar que los datos se compartan o vendan a terceros y, en el caso de que un menor de edad ejerza este derecho, las empresas tendrán que esperar un mínimo de 12 meses antes de solicitar de nuevo un consentimiento.
- Derechos. Con carácter general, los usuarios tienen el derecho a solicitar un registro de todos los datos personales con obren en manos de las empresas. Además, pueden solicitar que cualquier dato se elimine o deje de compartirse, así como que se les informe de por cuánto tiempo está almacenada esta información.
- Seguridad. Los residentes de California tienen el derecho de demandar a las empresas que utilicen indebidamente sus datos o sufran una violación de datos; también si descuidan la seguridad de sus datos, por ejemplo, al no encriptarlos adecuadamente.
Nueva Zelanda
- Ámbito. En vigor desde 2020, la Ley de Privacidad de Nueva Zelanda aplica a todas las empresas u organizaciones (incluyendo grupos religiosos, escuelas, etc.) que traten datos de ciudadanos neozelandeses, independientemente de que vivan en el país o no.
- Brechas. Cuando se produce una brecha de datos, y esta supera un determinado umbral, la organización tiene la obligación de notificar tanto a los afectados como al Comisionado de Privacidad. El Comisionado es una agencia, creada en 1993, que tiene la misión de administrar y velar por la adecuada aplicación de la Ley de Privacidad.
- Fronteras. La normativa prohíbe la divulgación de datos personales en el extranjero, a no ser, entre otras cosas, que la organización que vaya a recibirlos se comprometa a tratarlos adecuadamente, esté sujeta a leyes similares a la Ley de Nueva Zelanda y obtenga permiso expreso de la persona a la que pertenezcan los datos.
- Carencias. La ley neozelandesa no es un marco tan robusto como la GDPR, ya que no ofrece la posibilidad a los internautas de aceptar u oponerse al seguimiento de sus datos. Además, el Comisionado de Privacidad tiene ciertos límites en sus competencias. Por ejemplo, no puede imponer sanciones por violaciones o brechas de datos.
Singapur
- Ámbito. La Ley de Protección de Datos de Singapur (PDPA, Personal Data Protection Act) tiene carácter extraterritorial. Es decir, aplica a cualquier compañía u organización que trata datos de residentes o ciudadanos se Singapur. La PDPA contempla ciertas excepciones: empleados que gestionen información sensible en el transcurso de su actividad laboral o entes públicos, que trabajan con sus propios marcos normativos.
- Definición. Singapur define como “información personal” una amplia variedad de datos: desde ubicaciones, cookies, historial de búsquedas en internet y direcciones de email a referencias a sexo, edad o convicciones políticas y religiosas.
- Consentimiento. La recopilación de datos siempre ha de contar con el consentimiento del usuario. Existen dos tipos de consentimiento: activo e implícito. El activo es el que requiere que el usuario marque una casilla, o método similar, para indicar que está de acuerdo con la recolección. El implícito se activa cuando el usuario es informado, pero no se pronuncia ni a favor ni en contra.
- Respeto. No se puede molestar con llamadas o mensajes a los ciudadanos inscritos en el Registro de No Llamadas (DNC, national Do Not Call registry), a menos que se obtenga un consentimiento explícito o se esté llevando a cabo un negocio con esa persona.
Alemania
- Ámbito. La ley alemana de Protección de Datos en las Telecomunicaciones y Medios de Comunicación (TTDSG, Telekommunikation-Telemedien-Datenschutz-Gesetz) fue el resultado de aglutinar distintas leyes en un solo y sólido marco. En marcha desde 2021, tiene un ámbito de aplicación muy amplio. Regula la gestión de datos confidenciales en internet por parte de organizaciones establecidas en Alemania o fuera de Alemania con relación con el país.
- Consentimiento. Solo el permiso activo e informado del usuario, mediante banners visibles en la pantalla con información no ambigua sobre el propósito del acceso, permite la lectura y el almacenamiento de datos personales. Las características de estos banners son muy rígidas, según marca la ley. Por ejemplo, el botón de “aceptar” un seguimiento debe estar exactamente al mismo nivel y en el mismo formato que el de “rechazar”.
- Libertad. La normativa refleja multitud de medidas para flexibilizar los consentimientos y garantizar que los consumidores tienen siempre la sartén por el mango. Las compañías deben ofrecer al consumidor opciones para interrumpir sus relaciones y servicios en cualquier momento o para pagar de forma anónima o bajo seudónimo.
Suiza
- Ámbito. Al contrario que otros marcos normativos, la nueva Ley suiza, que se implantará en septiembre de 2023, se circunscribe a empresas y organismos que traten datos con ciudadanos suizos o que estén constituidos en Suiza. Además, la nFADP (Switzerland’s new Federal Act on Data Protection o Ley Federal de Protección de Datos de Suiza) se centra en proteger la información sensible de las personas físicas, no en las jurídicas.
Canadá
- Ámbito. Uno de los proyectos regulatorios más nuevos, todavía en proceso de aprobación, es la canadiense CPPA (Consumer Privacy Protection Act o Ley de Protección de la Privacidad de los Consumidores). El marco considera información personal cualquier dato identificable de una persona, viva o muerta. Ingresos, opiniones en redes, contratos de alquiler o transacciones financieras son datos que, bajo esta ley, deben ser protegidos. Quedan fuera del ámbito de actuación de la CPPA los registros que se utilicen con fines artísticos o periodísticos o la información facilitada que tenga como objetivo la búsqueda de empleo o los negocios.
- Responsabilidad. La CPPA hace responsable a las empresas de la seguridad de los datos, tanto si son gestionados en primera persona como si otro organismo los trata en su nombre. Además, existirá un departamento específico dedicado a la protección de la privacidad en cada organización y los niveles de los métodos de seguridad habrán de adaptarse a la sensibilidad de la información almacenada o leída.
- Consentimiento. Canadá también distingue entre consentimiento activo o implícito. El ofrecimiento de cada modalidad también irá aparejado a la sensibilidad de los datos a los que se desee acceder. Los mensajes de consentimiento que se muestran a los usuarios deben contemplar: el tipo de información privada que se va a recolectar, el propósito, quiénes son las terceras partes con las que se va a compartir y las consecuencias de la divulgación, entre otros conceptos. Toda organización deberá mantener registros de estos consentimientos en formatos fáciles de consultar en caso de auditoría.
- Derechos. La ley especifica que los usuarios ostentan el derecho de transferir su información personal entre bancos o aseguradoras o de eliminarla en cualquier momento.
Mientras nacen nuevas leyes de protección de la privacidad o se actualizan normas antiguas, es crucial entender que la sociedad en general, así como los proveedores de tecnología y las empresas, deben estar preparados para cumplir con todos los requisitos y obligaciones. Esto implica estar al tanto de los cambios legales, adaptar las prácticas empresariales para cumplir con los estándares de privacidad y seguridad, distintos en cada país o cultura, y adoptar soluciones tecnológicas adecuadas que protejan los datos personales de manera efectiva. La preparación y el cumplimiento de estas regulaciones no solo ayudan a garantizar el respeto de los derechos de privacidad de los individuos, sino que también promueven la confianza y la transparencia en el entorno digital en beneficio de todas las partes involucradas.