Cómo afectará el RGPD a las marcas estadounidenses

El uso (y el mal uso) de los datos representa un desafío único para los legisladores y las autoridades encargadas de hacer cumplir la ley. A diferencia de los bienes y servicios tradicionales, los flujos de datos no respetan las fronteras internacionales tradicionales, y la tasa de cambio tecnológico significa que la ley de privacidad de datos siempre es demasiado amplia o totalmente desactualizada.

En particular, los reguladores se han esforzado por desarrollar prácticas de cumplimiento efectivas para las empresas que tienen un gran impacto en su territorio pero que tienen su sede física en otro lugar.

Este es el tema subyacente del caso actual de la Corte Suprema de EE. UU ., Estados Unidos contra Microsoft Corp , que condujo recientemente a la aprobación apresurada de la Ley de Aclaración del Uso Legal de Datos en el Extranjero (CLOUD, por sus siglas en inglés) que permitirá a las autoridades de EE. UU. obligar a las empresas a proporcionar información solicitada. datos almacenados en servidores independientemente de si están ubicados dentro de los EE. UU. o en países extranjeros.

De manera similar, muchos todavía se están recuperando del escándalo de Cambridge Analytica/Facebook, que ha demostrado cómo la manipulación extranjera de los datos de las personas puede interferir potencialmente con la política nacional.

En este contexto, tal vez no sea sorprendente que la legislación de privacidad de datos histórica de la UE, el Reglamento General de Protección de Datos (GDPR), busque aplicar estándares mejorados de protección de datos no solo a aquellas empresas con sede en la UE, sino también a muchas fuera de ella.

En esta publicación, examino qué significa el RGPD para las marcas de EE. UU. y qué pasos, si es que hay alguno, deberían tomar ahora para prepararse:

¿Qué es el RGPD y cómo puede aplicarse la legislación de la UE a las empresas estadounidenses?

En pocas palabras, el RGPD es una pieza de la legislación de la UE que busca proteger los datos personales de los ciudadanos de la UE al regular cómo las organizaciones recopilan, almacenan y procesan esos datos.

A diferencia de su predecesora, la Directiva de protección de datos, que en términos generales no regulaba a las empresas con sede fuera de la UE, el RGPD se aplica a cualquier procesamiento de datos personales de interesados ​​que se encuentren en la UE donde las actividades de procesamiento estén relacionadas con: la oferta de bienes o servicios a dichos interesados ​​en la UE (independientemente de si se requiere un pago del interesado); o, el seguimiento de su comportamiento en la medida en que su comportamiento tenga lugar dentro de la UE.

Esto significa que el RGPD no solo es relevante para las empresas multinacionales que pueden tener su sede en los EE. UU., o para las empresas estadounidenses que tienen operaciones comerciales directas en la UE, sino también para muchas empresas estadounidenses que no las tienen. En un contexto en línea, el RGPD será relevante si:

• Tiene una fuerte presencia en Internet en la UE (incluso si no vende directamente en la UE)
• Es una empresa de comercio electrónico que acepta monedas de la UE y/o tiene un sufijo de dominio de la UE (como .co.uk, .fr, .de, etc.)
• Tiene visitantes de la UE y realiza personalizaciones en su sitio web.

El costo de hacerlo mal

Si alguno de los anteriores se aplica a su organización, debe revisar cuidadosamente sus prácticas de manejo de datos y determinar si es probable que el RGPD se aplique o no a sus actividades en línea. Una de las razones por las que esto es tan importante es por las multas significativas bajo la nueva regulación.

El RGPD introduce graves sanciones para las empresas que no cumplan con las nuevas normas. Las multas pueden alcanzar los 20 millones de euros o el 4 % de la facturación mundial de una organización, la cifra que sea mayor.

Todavía no está claro cómo los reguladores de la UE impondrían estas sanciones a las empresas estadounidenses que no tienen una presencia permanente en ningún país de la UE, pero la escala de las posibles multas debería significar que incluso las empresas estadounidenses deberían tomarse en serio las nuevas reglas.

El cumplimiento puede ser simple, pero no es solo un ejercicio de marcar casillas

Contrariamente a la creencia popular, el cumplimiento del RGPD se puede lograr de forma sencilla y sin una gran cantidad de recursos. Sin embargo, no es un ejercicio sencillo de marcar casillas y algunos de los pasos pueden requerir aportes de múltiples partes interesadas dentro de su organización.

Para obtener una guía más detallada de los nuevos requisitos, el regulador del Reino Unido ha publicado un resumen del RGPD, que es un excelente punto de partida si llega a esto de nuevo. Sin embargo, para las empresas que no están acostumbradas a la ley de protección de datos de la UE, cumplir con el RGPD también puede requerir un cambio fundamental en la forma en que se conceptualizan los datos:

1.) Datos personales frente a PII

La definición de "datos personales" según el RGPD es mucho más amplia que el concepto estadounidense similar de "información de identificación personal" (PII).

La PII, como se entiende en los EE. UU., generalmente se limita a identificadores como el nombre, el número de seguro social, la fecha y el lugar de nacimiento y los registros biométricos, médicos, educativos, financieros y laborales. Por el contrario, los datos personales en la UE significan cualquier información relacionada con una persona física identificada o identificable, o "sujeto de datos". Eso abarca los identificadores incluidos en la definición de PII de EE. UU. y, además, incluye identificadores en línea, como la dirección de correo electrónico, la ID de la cookie, la dirección IP, los hábitos de navegación, los datos de ubicación, etc.

En la práctica, esta definición amplia de datos personales significa que actividades como la personalización del sitio web están cubiertas por el RGPD, incluso si dicha personalización implica solo un uso básico de análisis basado en la identificación de la cookie o la dirección IP del usuario.

2.) Los Principios de Protección de Datos, y el consentimiento

El RGPD reconoce que las empresas tienen un interés legítimo en recopilar y utilizar datos personales (por ejemplo, con el fin de comprender cómo interactúan los visitantes con el sitio web de una empresa). Sin embargo, al hacerlo, las empresas deben seguir ciertos "principios de protección de datos", como garantizar la transparencia con el interesado.

Además, puede haber momentos en los que se requiera el consentimiento de un visitante antes de que se puedan recopilar sus datos, lo que según el RGPD requiere más que solo consultar una declaración de privacidad en línea. El RGPD elimina el consentimiento implícito y las casillas premarcadas, y le da a las empresas la responsabilidad de demostrar que el sujeto de los datos ha entendido completamente y está de acuerdo con lo que se le pide que dé su consentimiento.

3.) Propiedad

A diferencia de los EE. UU., donde generalmente se considera que todos los datos recopilados de un sitio web pertenecen al propietario de ese sitio web, en la UE, los datos personales pertenecen al interesado en cuestión. En consecuencia, esa persona tiene derecho a controlar cómo se procesan sus datos, lo que se refleja en los amplios derechos de los interesados ​​en virtud del RGPD para acceder, tomar copias y solicitar a las empresas que eliminen sus datos. Las empresas están obligadas a cumplir con dichas solicitudes de acuerdo con plazos estrictos, o se enfrentan a acciones de ejecución potencialmente severas por parte de los reguladores locales.

Del mismo modo, también se introducen requisitos mucho más estrictos cuando intervienen terceros. En particular, se debe informar a los interesados ​​con qué empresas se comparten sus datos, y las organizaciones solo pueden contratar a terceros que puedan garantizar un nivel adecuado de seguridad de los datos. Esto debe evidenciarse mediante documentos contractuales específicos que cumplan con los requisitos de contenido del RGPD. Comprender estas diferencias conceptuales será clave para las empresas que buscan cumplir con el RGPD.

Terminando

El RGPD cambiará la forma en que las empresas interactúan con los datos, no solo en la UE sino en todo el mundo. Las marcas de EE. UU., especialmente aquellas con una fuerte presencia en Internet, deben revisar cuidadosamente sus prácticas de manejo de datos y determinar si es probable que el RGPD se aplique o no a sus actividades en línea. Cualquier inquietud debe discutirse con un abogado mucho antes de la fecha de entrada en vigencia del RGPD para evitar multas considerables en virtud de la nueva regulación.