Qué significa para las empresas el proyecto de ley de protección de datos e información digital

Según el gobierno, la economía digital del Reino Unido tuvo un valor estimado de £259 mil millones en 2021. Y representó el 85% de las exportaciones totales de servicios. Es por eso que las empresas han estado esperando ansiosamente una de las leyes más importantes de la era post-Brexit: el Proyecto de Ley de Protección de Datos e Información Digital (DPDI). Introducida por primera vez en el verano de 2022 y luego pausada poco después para consultar con expertos de la industria y líderes empresariales, la legislación es ahora siendo promocionado como una forma para que las empresas del Reino Unido reduzcan el papeleo y las barreras comerciales sin comprometer la privacidad y la protección de datos.

Pero, ¿podrían realmente sus disposiciones aumentar la burocracia para las organizaciones en un momento en el que ya están sobrecargadas con nuevos mandatos de cumplimiento en Estados Unidos?

¿Qué hay en la factura?

Hay mucho que desentrañar de lo que es esencialmente el intento del Reino Unido de producir su propia versión del GDPR. Es una mezcla de aclaraciones y excepciones que intentan hacer que la ley sea más favorable a las empresas sin afectar el estado de adecuación del Reino Unido, lo que pondría en peligro los flujos de datos hacia y desde la UE.

Uno de los cambios principales es garantizar que sólo las organizaciones involucradas en el procesamiento de datos de “alto riesgo”, como aquellas que manejan grandes volúmenes de datos de salud, necesiten mantener registros. Esto está diseñado para reducir el papeleo para una gran cantidad de empresas. Las nuevas reglas también pretenden aclarar cuándo las organizaciones pueden procesar datos sin requerir consentimiento, como cuando es de interés público compartir datos personales para prevenir delitos.

Se han hecho más aclaraciones para aumentar la confianza en la IA al indicar cuándo se deben aplicar salvaguardas a la toma de decisiones automatizada o la elaboración de perfiles, que son fundamentales para muchos modelos de negocio. Y hay nuevas reglas diseñadas para que las organizaciones comerciales puedan beneficiarse de las mismas protecciones que los académicos al realizar investigaciones. Es decir, cualquier investigación que pueda “describirse razonablemente como científica”. El objetivo nuevamente es reducir la burocracia y los costos legales para los investigadores y al mismo tiempo impulsar más investigación científica en el sector privado.

Otras desviaciones del GDPR incluyen un nuevo marco para la verificación digital opcional, mayores multas por llamadas y mensajes de texto molestos hasta el 4% de la facturación global o £17.5 millones, y la creación de una nueva junta estatutaria para el regulador, la Oficina del Comisionado de Información (ICO). ). También hay propuestas para reducir la cantidad de ventanas emergentes de consentimiento que los usuarios de Internet ven en línea, lo que efectivamente significa que las empresas podrán utilizar tecnologías de seguimiento en sitios web y aplicaciones sin el consentimiento previo del usuario final para realizar análisis.

Lo que promete el gobierno

Como era de esperar, el gobierno está gritando a los cuatro vientos sobre los beneficios potenciales que traerá su nueva versión del GDPR. Afirmó que las reformas “desbloquearán” £4.7 millones en ahorros para las organizaciones del Reino Unido durante la próxima década sin impedir los flujos de datos internacionales. De hecho, el gobierno afirma que los cambios mejorarán la confianza global en su régimen regulatorio para impulsar aún más el comercio internacional. La legislación ayudará a aliviar la carga que pesa sobre las pequeñas empresas, particularmente por lo que el gobierno describe como una ley europea inflexible y vertical.

Otro tema es el aumento de la confianza empresarial, tanto sobre cuándo pueden procesar datos personales sin consentimiento como para aclarar cuándo deben aplicarse salvaguardias al utilizar tecnologías de inteligencia artificial.

La Secretaria de Ciencia, Innovación y Tecnología, Michelle Donelan, destacó que el proyecto de ley había sido “codiseñado” con las empresas desde el principio.

“Nuestro sistema será más fácil de entender, más fácil de cumplir y aprovechará las muchas oportunidades de la Gran Bretaña post-Brexit. Nuestras empresas y ciudadanos ya no tendrán que enredarse en torno al GDPR europeo basado en barreras”, dijo en su lanzamiento.

"Nuestras nuevas leyes liberan a las empresas británicas de trámites burocráticos innecesarios para desbloquear nuevos descubrimientos, impulsar tecnologías de próxima generación, crear empleos e impulsar nuestra economía".

¿Podría el proyecto de ley aumentar la burocracia?

Sin embargo, existe la preocupación de que, lejos de eliminar la burocracia, la legislación en realidad podría aumentarla para algunas organizaciones. Antonis Patrikios, socio y copresidente global de la práctica de privacidad de datos y seguridad cibernética de Dentons, explica que las organizaciones que no quieran cambiar su marco de cumplimiento de GDPR existente no tienen que hacerlo con la nueva legislación.

“El proyecto de ley prevé que las organizaciones puedan seguir cumpliendo con el RGPD de la UE si lo desean, y se considerará que esto cumple con los requisitos de la nueva ley de protección de datos del Reino Unido. Por lo tanto, las organizaciones que no deseen verse afectadas por los cambios introducidos por el proyecto de ley no tendrán que hacerlo”, dice a ISMS.online.

Sin embargo, si bien eso reduciría la posible carga de cumplimiento, especialmente para aquellas con operaciones europeas, significaría que esas organizaciones no pueden beneficiarse de las tan promocionadas ventajas de la nueva legislación. Aquellos que quieran hacerlo deben mantener efectivamente dos marcos de cumplimiento separados, uno para sus operaciones en la UE (GDPR) y otro para el Reino Unido (DPDI).

Patrikios lo admite.

“De aquellas organizaciones que deseen aprovechar los requisitos legales revisados ​​del Reino Unido simplificados (y probablemente más fáciles de cumplir), aquellos que procesan tanto datos personales del Reino Unido como datos personales de la UE deberán pensar un poco más para considerar hasta qué punto en qué quieren basarse en la ley revisada del Reino Unido y cómo gestionarán en la práctica la interacción entre la aplicación de un estándar (es decir, el RGPD de la UE) para sus datos de la UE y otro estándar (es decir, la ley revisada de protección de datos del Reino Unido) para sus datos del Reino Unido. " él dice.

También existe un interrogante sobre si facilitar el cumplimiento es incluso lo mejor para las organizaciones, particularmente si tiene consecuencias no deseadas. La eliminación de la necesidad de que la mayoría de los procesadores de datos de bajo riesgo mantengan registros es uno de esos casos, según Edward Machin, abogado senior de la práctica de datos, privacidad y ciberseguridad de Ropes & Gray.

"Aunque nadie se va a quejar de una reducción en el papeleo, eliminar el requisito para que la mayoría de las empresas mantengan inventarios de datos personales significa que podrían tener dificultades para entender cómo y dónde guardan los datos, lo que no beneficia a nadie", argumenta.

Cómo las empresas pueden gestionar la carga de trabajo adicional

Cualquier aumento en el trabajo de cumplimiento para las organizaciones del Reino Unido llegará en un momento de mucha actividad. Este año, se prevé que siete estados, incluidos Colorado, Connecticut, Utah y Virginia, comiencen a aplicar nuevos estatutos inspirados en el RGPD. La carga de trabajo adicional amenaza con abrumar a los saturados equipos de cumplimiento.

“Además de la reforma de la ley de protección de datos del Reino Unido y los procesos de reforma de la ley de privacidad estatal de EE. UU., existen nuevas leyes de privacidad y/o directrices y prácticas en evolución en mercados importantes como China, India y Canadá. Tampoco debemos olvidar el conjunto de leyes de ciberseguridad (por ejemplo, NIS 2 y DORA) o de regulación de la tecnología (como la Ley de IA y la DSA) que se están abriendo paso en el proceso legislativo de la UE”, explica Patrikios.

“Las organizaciones deberían considerar cuáles de estas nuevas leyes se les aplican y luego considerar cuál será el impacto probable y cómo prepararse para ello. Para ello, es fundamental hablar con asesores especializados externos porque existen nuevas disposiciones, algunas de las cuales no tienen precedentes, por lo que pueden resultar difíciles de aplicar en la práctica. Si se aplica más de una nueva ley, racionalizar los esfuerzos de cumplimiento puede no ser sencillo, y obtener orientación sobre lo que otros en el mercado están haciendo puede ser muy útil en la práctica”.

Aquí es donde los socios de confianza como ISMS.online pueden ayudar proporcionando un portal centralizado donde los clientes pueden gestionar todos sus esfuerzos de cumplimiento en un solo lugar. Aún mejor, cuando algunas tareas y especificaciones parecen iguales en diferentes marcos regulatorios, ISMS.online puede garantizar que los equipos no pierdan tiempo duplicando sus esfuerzos.