Navegando por el cumplimiento: comprensión de las implicaciones del acuerdo puente de datos entre el Reino Unido y EE. UU.

Por René Millman • 27 de junio de 2023

Los gobiernos del Reino Unido y de los Estados Unidos acordaron recientemente establecer un nuevo puente de datos, basado en la nueva Ley de Datos del Reino Unido, para facilitar el flujo de datos personales entre los dos países. Este acuerdo representa una extensión del Reino Unido al Marco de Privacidad de Datos acordado entre la UE y los EE. UU. en 2022.

El puente de datos proporcionará varios beneficios a las empresas y organizaciones del Reino Unido, incluida la aceleración de los procesos, la reducción de costos y el aumento de las oportunidades para el comercio internacional. En 2021, el 93% de las exportaciones de servicios del Reino Unido se basaron en datos, y se exportaron más de £79 mil millones a Estados Unidos. Por eliminar la burocracia onerosa, se espera que el puente de datos estimule el crecimiento económico en ambos países.

Desde una perspectiva regulatoria y de cumplimiento, las empresas y organizaciones del Reino Unido deben prepararse para este nuevo acuerdo y comprender sus implicaciones.

Preparación para el nuevo acuerdo: requisitos reglamentarios y de cumplimiento

La extensión del Reino Unido al Marco de Privacidad de Datos crea un 'puente de datos' entre el Reino Unido y los EE. UU., eliminando costosas cláusulas contractuales para las empresas del Reino Unido que transfieren datos personales a proveedores de servicios estadounidenses. Las empresas del Reino Unido deben comprender los requisitos para establecer el puente de datos para cumplir con los estándares regulatorios y de cumplimiento.

El Acuerdo Puente de Datos entre el Reino Unido y los EE. UU. afecta las prácticas de privacidad y manejo de datos de las empresas del Reino Unido. Protege a los interesados del Reino Unido, reduce los costos de cumplimiento y ofrece flexibilidad en la gestión de datos personales. Sin embargo, surgen desafíos y riesgos, incluidas preocupaciones sobre su impacto en la aplicación de las decisiones de adecuación del RGPD en el Reino Unido.

Según el nuevo puente de datos, las empresas estadounidenses a las que se les conceda aprobación para participar en el marco podrán recibir datos personales del Reino Unido. La prueba de idoneidad según el RGPD del Reino Unido requiere que el Secretario de Estado esté satisfecho de que los estándares de protección de datos del Reino Unido según el RGPD del Reino Unido no se ven socavados cuando los datos personales se transfieren a otro país..

Para alinearse con los estándares regulatorios y de cumplimiento, las empresas y organizaciones del Reino Unido deben comprender los requisitos que deben cumplirse antes de que se pueda establecer el puente de datos. También deben explorar sus obligaciones de cumplimiento en virtud del nuevo acuerdo y tomar medidas para alinearse con estos estándares.

Implicaciones para las prácticas de privacidad y manejo de datos de las empresas del Reino Unido

El acuerdo tiene como objetivo salvaguardar a los interesados del Reino Unido, fomentar el comercio y reducir los gastos de cumplimiento. Introduce una mayor flexibilidad en la transferencia de datos personales entre el Reino Unido y los EE. UU. Sin embargo, también entraña desafíos y riesgos, incluidas posibles implicaciones para la decisión del Reino Unido sobre la adecuación del RGPD y el acuerdo entre el Reino Unido y los Estados Unidos sobre el acceso a datos electrónicos para luchar contra los delitos graves.

James Castro-Edwards, abogado de privacidad de datos de Arnold & Porter, explica que el Puente de datos entre el Reino Unido y EE. UU. es una extensión del Reino Unido del Marco de privacidad de datos (DPF) UE-EE. UU., que pretende ser un medio para transferir datos personales desde el UE a EE.UU.

“Como el Reino Unido ya no es miembro de la UE, las empresas del Reino Unido no podrán confiar automáticamente en el DPF para permitir transferencias de datos personales a los EE. UU., siempre y cuando se adopte el DPF. El Puente de Datos Reino Unido-EE.UU. tiene como objetivo permitir a las empresas del Reino Unido transferir datos personales a los EE.UU. sin necesidad de salvaguardias como las Cláusulas Contractuales Estándar o 'SCC'”, afirma.

"Sin embargo, las empresas deben recordar que el puente de datos entre el Reino Unido y los EE. UU. depende de que el Reino Unido evalúe el puente de datos y se finalice el trabajo técnico adicional, y depende de que los EE. UU. designen al Reino Unido como un 'estado calificado' según la Orden Ejecutiva 14086".

Relaciones con la UE: Navegando por la intersección de las regulaciones de datos del Reino Unido, EE. UU. y la UE

El Acuerdo Puente de Datos entre el Reino Unido y Estados Unidos tendrá un impacto en las relaciones de las empresas del Reino Unido con los países de la UE. La UE ha otorgado decisiones de adecuación tanto para el RGPD de la UE como para la Directiva sobre aplicación de la ley (LED), garantizando el flujo ininterrumpido de datos entre el Reino Unido y la UE en la mayoría de los casos. Para alinearse con estas decisiones, el Reino Unido ha incorporado las disposiciones del RGPD de la UE a su legislación interna, conocida como RGPD del Reino Unido.

Las empresas del Reino Unido deben cumplir ambos conjuntos de regulaciones, lo que puede resultar complicado debido a las diferencias de enfoque. Si bien la UE tiene una ley integral de privacidad de datos, el GDPR, EE. UU. adopta un enfoque más fragmentado con varias regulaciones sectoriales específicas.

En la UE, la GDPR garantiza regulaciones consistentes para proteger los datos personales en todos los estados miembros, delineando derechos individuales e imponiendo obligaciones a las empresas. Por el contrario, Estados Unidos carece de una ley federal única e integral para los datos personales, y se basa en leyes federales y estatales específicas del sector, como la HIPAA, para la información médica. Este enfoque fragmentado puede dificultar que las empresas del Reino Unido naveguen y cumplan con las regulaciones de datos de EE. UU.

Para mantener el cumplimiento, las empresas del Reino Unido deben analizar las diferencias entre las regulaciones de datos del Reino Unido, EE. UU. y la UE y desarrollar estrategias para cumplir con ambos conjuntos de regulaciones. Esto puede implicar comprender y cumplir las disposiciones del RGPD del Reino Unido, que incorpora las disposiciones del RGPD de la UE..

Sin embargo, Casey Ellis, fundador y director de tecnología de Bugcrowd, cree que para las empresas del Reino Unido, el RGPD ya está integrado en sus operaciones.

“Creo que, por defecto, el Reino Unido está protegido por el RGPD, pero obviamente está tratando de resolver su propia versión. No espero que una versión del RGPD implementada exclusivamente en el Reino Unido se vea muy diferente del RGPD”, afirma.

“Dado todo el trabajo que se ha realizado para implementar los estándares de la UE, el hecho de que la UE sea una parte comercial del Reino Unido es bastante relevante y el hecho de que la gente esté avanzando hacia eso durante tanto tiempo. Entonces, en realidad, la pregunta es: ¿qué diablos está haciendo Estados Unidos y cómo podemos conectarnos desde este lado del charco?

"¿Cómo piensa realmente Estados Unidos cómo puede hacer negocios desde el punto de vista de los datos con el Reino Unido sin entrar accidentalmente en conflicto con políticas que podrían ser costosas desde el punto de vista empresarial o perjudiciales desde el punto de vista de la privacidad", advierte Ellis?

Mirando hacia el futuro: maximizar los beneficios y garantizar el cumplimiento

El acuerdo tendrá un impacto significativo en las prácticas de privacidad y manejo de datos de las empresas del Reino Unido. Protegerá los derechos de los interesados del Reino Unido y reducirá los costos de cumplimiento asociados con mecanismos de transferencia alternativos, promoviendo el comercio y la innovación.

Para prepararse para el acuerdo, las empresas del Reino Unido deben comprender los requisitos previos para establecer el puente de datos y evaluar sus obligaciones de cumplimiento. Para maximizar los beneficios del acuerdo, las empresas del Reino Unido deberían analizar su impacto en el manejo de datos, las prácticas de privacidad y la flexibilidad en la gestión de datos personales entre los dos países. También deben identificar posibles desafíos y riesgos y desarrollar estrategias para cumplir con las regulaciones de datos del Reino Unido, EE. UU. y la UE.

René Millman

Rene Millman es un escritor y locutor independiente versátil que se especializa en ciberseguridad, inteligencia artificial, IoT y tecnologías en la nube. Además de su función como analista colaborador en GigaOm, aporta una amplia experiencia como ex analista de Gartner centrado en el mercado de infraestructura. Reconocido por su experiencia, Rene Millman ha aparecido frecuentemente en televisión, compartiendo ideas y análisis sobre tendencias tecnológicas y empresas influyentes que dan forma a nuestra vida diaria. Manténgase actualizado con las ideas de Rene Millman siguiéndolo en Twitter.

Lea más de René Millman

La seguridad cibernética 13 de septiembre de 2024

La interrupción de crowdstrike es un caso para reforzar la respuesta a incidentes con el banner ISO 27001.

La interrupción de CrowdStrike: un caso para reforzar la respuesta a incidentes con ISO 27001

En julio de 2024, una actualización de software fallida de CrowdStrike provocó una interrupción significativa del sistema informático a nivel mundial, que afectó a numerosas organizaciones, incluidas aerolíneas,...

René Millman

La seguridad cibernética 16 July 2024

Evitar las próximas lecciones de ciberseguridad de Medisecure para empresas.

Evitar el próximo MediSecure: lecciones de ciberseguridad para empresas

La catástrofe de ciberseguridad de MediSecure sirve como una dura llamada de atención para las empresas: descuidar las defensas digitales es un riesgo para ellas mismas o...

René Millman

La seguridad cibernética 11 de junio de 2024

¿Qué se puede hacer con el banner de crisis de la base de datos nacional de vulnerabilidad?

¿Qué se puede hacer ante la crisis de la base de datos nacional de vulnerabilidades?

El Instituto Nacional de Estándares y Tecnología (NIST) se encuentra en un aprieto que tiene serias implicaciones para los equipos de ciberseguridad de todo el mundo.

René Millman

Navegando por el cumplimiento: comprensión de las implicaciones del acuerdo puente de datos entre el Reino Unido y EE. UU.

Preparación para el nuevo acuerdo: requisitos reglamentarios y de cumplimiento

Implicaciones para las prácticas de privacidad y manejo de datos de las empresas del Reino Unido

Relaciones con la UE: Navegando por la intersección de las regulaciones de datos del Reino Unido, EE. UU. y la UE

Mirando hacia el futuro: maximizar los beneficios y garantizar el cumplimiento

René Millman

Artículos relacionados

Más que casillas de verificación: por qué los estándares son ahora un imperativo empresarial

La revisión de Safe Harbor sigue como siempre, por ahora

¿La violación de Grok creará preocupaciones de seguridad para GenAI?

Lea más de René Millman

La interrupción de CrowdStrike: un caso para reforzar la respuesta a incidentes con ISO 27001

Evitar el próximo MediSecure: lecciones de ciberseguridad para empresas

¿Qué se puede hacer ante la crisis de la base de datos nacional de vulnerabilidades?