Por: Julie Brill, vicepresidenta corporativa y consejera general adjunta en Microsoft.
El 25 de mayo marcó el primer aniversario de que entró en efecto la Regulación General de Protección a los Datos de la Unión Europea (GDPR, por sus siglas en inglés). GDPR es un marco innovador de privacidad que impulsa a los residentes de la Unión Europea (UE) a controlar su información personal para que puedan utilizar tecnologías digitales para interactuar de manera libre y segura entre ellos y con el mundo.
Mucho ha sucedido en el frente de la privacidad global desde que entró en vigor GDPR. En general, las compañías que recolectan y procesan información personal de gente que viven en la UE se han adaptado, y han puesto en funcionamiento nuevos sistemas y procesos para asegurar que los individuos entienden qué datos son recolectados sobre ellos y puedan corregirlos si no son precisos, y eliminarlos o moverlos a otro lugar que ellos elijan.
Esto ha mejorado la manera en que las compañías manejan los datos personales de sus clientes. Y ha inspirado un movimiento global que ha visto cómo países de todo el mundo adoptan nuevas leyes de privacidad que son modeladas por GDPR. Brasil, China, India, Japón, Corea del Sur y Tailandia están entre las naciones que han pasado nuevas leyes, han propuesto nueva legislación, o han considerado cambios a las leyes existentes que llevarán a sus regulaciones de privacidad a una alineación más cercana con GDPR.
Impulsar a la gente a manejar su información a través de nuestro tablero de privacidad
La fuerza impulsora detrás del movimiento global para modernizar las leyes de privacidad es el nuevo entendimiento que la gente tiene del derecho a la privacidad conforme la tecnología cambia la manera en que la gente crea y comparte información. Alrededor del mundo, existe una creciente expectativa de que todos deberían beneficiarse de la tecnología digital sin perder el control de su información personal. Es por esto que Microsoft fue la primer compañía en brindar los derechos del control de datos justo en el centro de GDPR a nuestros clientes de todo el mundo, no solo en Europa.
Hace un año, el siempre creciente número de personas que utilizan nuestro tablero de privacidad es una clara señal de que la gente quiere tener la posibilidad de controlar sus datos. Desde que entró en vigor GDPR, más de 18 millones de personas de todo el mundo han utilizado nuestra herramienta para gestionar su información personal. El mayor nivel de involucramiento, tanto de manera per carpita como en números absolutos, viene todavía de los Estados Unidos donde alrededor de 6.7 millones de personas han utilizado nuestro tablero. No es de sorprender que los residentes de los países europeos cubiertos por GDPR también representan un porcentaje significativo de personas que han visitado el tablero de privacidad – a la fecha más de 4 millones de nuestros clientes en los Estados Unidos se han registrado para gestionar sus datos.
Pero la demanda es en verdad global. Japón se encuentra en segundo lugar en el uso del tablero de privacidad y Canadá es quinto. Otros países en los primeros 10 son Brasil, China, México y Australia.
Transformar la cultura y promover la privacidad a través de la economía digital
Para elevar la importancia de la privacidad e integrarla en sus sistemas de operaciones, compañías como Microsoft que han adoptado por completo GDPR han pasado por un profundo cambio cultural que comienza a nivel ejecutivo y alcanza a toda la organización. Hoy, en Microsoft nuestra responsabilidad de proteger la privacidad de nuestros clientes es el punto de inicio para todo lo que hacemos. Nuestro compromiso con un mayor control e impulso por parte del usuario es más fuerte que nunca.
Pueden ver los resultados de esta transformación cultural a través de nuestros productos y servicios. Hace unos días, por ejemplo, anunciamos nuevos pasos para incrementar la transparencia sobre los datos que recolectamos cuando la gente utiliza nuestros productos y para brindarles mayor control sobre cómo son utilizados sus datos. Esos pasos incluyen describir los datos que recolectamos en un lenguaje claro y simple; y facilitar a la gente el control de su información personal. Para mejorar la transparencia, hemos mejorado la documentación e introdujimos un nuevo reporte bi anual sobre nuestros procedimientos de recolección de datos.
También brindamos herramientas para ayudar a nuestros clientes a cumplir con sus propias obligaciones de privacidad bajo GDPR. Para facilitar que los desarrolladores de juegos cumplan con GDPR, desarrollamos herramientas para que puedan permitir a los jugadores ver o borrar datos sobre ellos que se encuentren almacenados. Entregamos funciones que mejoran cómo los negocios aseguran datos sensible y protegen la privacidad de sus empleados y clientes. Ofrecemos encriptación para permitir a las compañías proteger datos sensibles incluidas tarjetas de crédito e identificaciones nacionales como los números de seguro social de Estados Unidos. Para ayudar a las compañías a salvaguardar información sensible en dispositivos móviles, anunciamos un conjunto de capacidades avanzadas en privacidad y seguridad que permitan a los administradores de TI de las compañías reforzar mejor las políticas de protección de la seguridad y la privacidad. Y en abril de 2019, lanzamos nuevas herramientas de privacidad para Office365 ProPlus que brindan mayo control de los datos de diagnóstico que son enviados a Microsoft, y sobre las funciones opcionales basadas en la nube en Office que mejoran la funcionalidad.
Hacia un marco para nuevas leyes de privacidad en Estados Unidos y la interoperabilidad alrededor del mundo
No importa cuánto trabajo empresas como Microsoft realicen para ayudar a las organizaciones a asegurar los datos sensibles e impulsar a los individuos a gestionar sus propios datos, preservar un fuerte derecho a la privacidad siempre será de origen una cuestión de ley que es responsabilidad de los gobiernos. Sin importar el alto nivel de interés por ejercer control sobre los datos personales de los consumidores de Estados Unidos, el país aún no se ha unido a la UE y a otras naciones alrededor del mundo en pasar una legislación que se haga responsable por cómo la gente utiliza la tecnología en sus vidas hoy en día.
En la ausencia de acción federal, California dio un importante primer paso en avanzar la protección a la privacidad cuando pasó el Acta de Privacidad del Consumidor en California (CCPA, por sus siglas en inglés), que entrará en efecto el 1 de enero de 2020. Un hito para la ley de privacidad de Estados Unidos, la CCPA fue la primera ley en los Estados Unidos en incluir derechos inspirados en GDPR.
Ahora, su Congreso busca adoptar un nuevo marco que refleje el cambiante entendimiento del derecho a la privacidad en los Estados Unidos y alrededor del mundo. Como con GDPR, este marco debe defender el derecho fundamental a la privacidad a través de reglas que den control a la gente sobre sus datos y requieren mayor responsabilidad y transparencia sobre cómo las compañías utilizan la información personal que recolectan.
La ley de California es un buen punto de inicio. Pero la legislación federal debería ir más allá y asegurar que las compañías actúan como administradores responsables de los datos personales de los consumidores. Una manera de conseguir esto es al requerir evaluaciones que sopesen los beneficios del procesamiento de datos contra los riesgos potenciales de privacidad para aquellos cuyos datos se procesan.
Esto es importante porque el modelo de privacidad prevaleciente de registrarse/darse de baja en los Estados Unidos obliga a los consumidores a tomar la decisión para cada sitio web y servicio en línea que visitan. Esto genera una carga irrazonable – e irrealizable – para los individuos. Una fuerte privacidad federal debe no sólo impulsar a los consumidores a controlar sus datos, también debe colocar obligaciones de responsabilidad en las compañías que recolectan y utilizan información personal sensible.
La ley federal también debe incluir disposiciones estrictas de aplicación. Como vi de primera mano cuando presté servicios en la Comisión Federal de Comercio (FTC, por sus siglas en inglés), las leyes que se encuentran en la actualidad en los libros no tienen la suficiente fuerza para permitir a la FTC proteger la privacidad de manera efectiva en la compleja economía digital actual.
Por último, mientras que la legislación federal sobre la privacidad debería reflejar un precedente legal en Estados Unidos – y los valores culturales y normas de la sociedad americana – también debe trabajar con GDPR. Para los negocios americanos, la interoperabilidad entre la ley de Estados Unidos y GDPR reducirá el costo y complejidad del cumplimiento de normas al garantizar que las empresa no necesitan construir sistemas separados para satisfacer diferentes – e incluso en conflicto – requerimientos para la protección de la privacidad en los países donde realizan negocios.
En el año en que entró en vigor, GDPR ha sido un importante catalizador para el progreso en la protección de la privacidad. Países alrededor del mundo han implementado nuevas leyes que reflejan el nuevo entendimiento que la gente tiene para la privacidad en nuestra era digital. Algunas empresas realizan una mejor labor en el manejo de datos personales sensibles y han entregado nuevas herramientas que facilitan a la gente manejar y controlar su información personal.
Ahora es el momento de que el Congreso se inspire del resto del mundo y promulgue una legislación federal que extienda las protecciones de la privacidad en GDPR a ciudadanos en Estados Unidos.