Ampliando el alcance del Compliance
La aparición del Compliance en la esfera penal o su vinculación con grandes casos mediáticos estimula su difusión.
11 abril, 2024
3 min
Cinco años después de la aplicación directa del Reglamento General de Protección de Datos (RGPD), las organizaciones tienen ante sí importantes retos, pero también oportunidades, que impactan en el cumplimiento de la normativa vigente en materia de protección de datos, pero también en su posicionamiento competitivo y diferencial en el mercado. Así se puso de manifiesto en el evento organizado por KPMG con motivo de este importante aniversario, y que contó con expertos de Technology Risk de KPMG Advisory e IP&IT de KPMG Abogados. Algunas de las cuestiones más relevantes a tener en cuenta en esta nueva era de la privacidad son:
En un mundo cada vez más impulsado por los datos, la protección y el manejo adecuado de la información se han vuelto cruciales. En este contexto, la estrategia del tratamiento de datos para la nueva era digital, aspectos como el gobierno de los datos, la privacidad o la identidad digital son pilares de actuación. Así, la Unión Europea ha aprobado la Data Governance Act, destinada a establecer un marco jurídico para la gobernanza y legítimo intercambio de datos en la Unión Europea. Esta propuesta tiene el potencial de generar importantes impactos en el impulso de un mercado único de los datos en la UE y en propuestas innovadoras basadas en estos. De igual manera tanto la normativa de ciberseguridad como la Directiva NIS hacen hincapié en la seguridad de la información y los activos que la manejan.
Para ello, en concordancia con la normativa de protección de datos personales, esta nueva regulación busca establecer también un marco legal claro y coherente asegurando que los derechos de privacidad de los individuos sean respetados en las iniciativas de compartición de datos que se promuevan (proyectos data sharing), así como en el desarrollo de los nuevos servicios y modelos de intercambio de datos dispuestos en la norma.
De hecho, alguno de estos últimos servicios se refieren, por ejemplo, a las nuevas cooperativas de datos, esto es, servicios que, por una parte, ayudan a tomar decisiones con conocimiento de causa, antes de dar el consentimiento para el tratamiento de datos, a los interesados y las empresas unipersonales, microempresas y pequeñas y medianas empresas que sean miembros de la cooperativa, o que confieran a esta el poder para negociar con carácter previo al consentimiento las condiciones y modalidades del tratamiento de datos. Por otra parte, prevén mecanismos para el intercambio de puntos de vista sobre los fines y las condiciones del tratamiento de datos que mejor representen los intereses en juego. Como se observa, son nuevos servicios y modelos de negocio por los que se busca mejorar el cumplimiento de la normativa protectora de datos personales, promoviendo su legítima compartición.
En todo caso, los nuevos modelos de gobernanza de datos implican la definición y la implantación de marcos reforzados de privacidad, de seguridad y de transparencia para el tratamiento de los datos personales. Aplicar soluciones como las Privacy-enhancing technologies (PET) ayudarán a mitigar los riesgos de compartición de datos personales en estos casos, entre otras técnicas posibles.
Asimismo, la regulación establece un marco claro para el acceso y la reutilización de datos no personales, con el objetivo de promover la colaboración y la creación de valor a través de la utilización de datos. Esto puede estimular el desarrollo de nuevas soluciones y aplicaciones, y fomentar la investigación y la innovación en diferentes sectores. Al mismo tiempo, se establecen salvaguardas para proteger la propiedad intelectual y garantizar un equilibrio adecuado entre el acceso a los datos y la protección de los derechos de los titulares de estos, siendo necesario, previa comunicación, garantizar que los datos se encuentran anonimizados o pseudonimizados, y en contrario, realizar una evaluación de impacto. La regulación busca abordar los desafíos de concentración de datos y dominio de mercado al facilitar el acceso a datos no personales por parte de actores más pequeños y nuevos participantes, así será necesario configurar espacios que tengan las medidas de privacidad y seguridad con las garantías adecuadas para crear espacios de reutilización de los datos.
Por su parte, la Comisión Europea propuso otro Reglamento sobre normas armonizadas sobre el acceso equitativo a los datos y su uso (Ley de Datos o Data Act), que pretende convertir a Europa en líder en la economía de los datos aprovechando el potencial de la cantidad cada vez mayor de datos industriales, con el fin de beneficiar la economía y la sociedad europeas.
En particular, esta norma permitirá el intercambio de datos entre empresas (B2B data sharing), así como entre empresas y administraciones (B2G data sharing), incluso cuando los datos tengan carácter personal, si bien con pleno respeto a la normativa aplicable y mediante sistemas o mecanismos fiables de gobernanza.
En conclusión, estas dos nuevas normas permitirán maximizar todo el valor y potencial de la información que manejan las organizaciones, así como nuevas oportunidades de negocio.
Por su parte, en la era digital actual, las tecnologías emergentes están transformando rápidamente la forma en que interactuamos, trabajamos y vivimos. Desde la inteligencia artificial hasta el Internet de las cosas, estas tecnologías prometen brindar beneficios significativos, pero también plantean desafíos en términos de protección de datos y privacidad. A medida que continúan evolucionando, se hace cada vez más crucial abordar los problemas relacionados con la privacidad y garantizar que los datos personales estén adecuadamente protegidos y asegurados.
Uno de los principales problemas en materia de protección de datos en relación con las tecnologías emergentes es la recopilación masiva de información personal. La inteligencia artificial y el análisis de Big Data han permitido la recopilación y el procesamiento de grandes cantidades de datos, lo que plantea preocupaciones sobre el acceso y el uso indebido de información sensible. Muchas de estas tecnologías requieren el acceso a datos personales para funcionar correctamente, lo que aumenta la posibilidad de que se produzcan violaciones de la privacidad.
Además, la falta de transparencia en la recopilación y el uso de datos también es un problema importante siendo por ello fundamental establecer políticas claras y, en su caso, mecanismos de consentimiento informado para garantizar que los individuos comprendan cómo se están utilizando sus datos y tengan el control sobre ellos. Además, a medida que se implementan dispositivos interconectados en el Internet de las cosas y se recopilan datos a través de múltiples fuentes, aumenta el riesgo de violaciones de seguridad y ataques cibernéticos. Los datos personales pueden ser robados, filtrados o utilizados de manera maliciosa si no se implementan medidas de seguridad adecuadas, por ello, es necesario fortalecer los protocolos de seguridad y establecer estándares sólidos para proteger los datos en todas las etapas de su procesamiento y almacenamiento.
Sin duda la nueva regulación europea de Inteligencia Artificial (IA), que está a punto de ser aprobada en la UE, conllevará la necesidad de atender múltiples requerimientos normativos en torno a la gobernanza de los datos tratados por sistemas de IA, lo que determinará la redefinición de operativas y procesos legales en base al riesgo identificado en tales sistemas, sobre todo, cuando estos tengan la consideración de sistemas de IA de alto riesgo, calificándose como tales por la propia normativa los sistemas de IA en el ámbito laboral, o de IA Generativa, como ChatGPT, según la última versión de este texto normativo aprobado en el seno de las comisiones parlamentarias competentes del Parlamento Europeo.
Por supuesto, una cuestión estratégica para las organizaciones como son los principios ESG (Environmental, Social y Governance, por sus siglas en inglés) también tienen impacto y han de materializarse en la ciberseguridad y la privacidad. De este modo, las organizaciones podrán garantizar un enfoque holístico que aborde tanto las consideraciones éticas y sostenibles como las preocupaciones de privacidad de los individuos, garantizando la protección de sus datos personales.
La integración de ambos enfoques es clave para construir organizaciones responsables y centradas en las personas. A continuación, algunos ejemplos de esta integración:
En definitiva, integrar los principios ESG con la privacidad y protección de datos, contribuye a construir la confianza de los clientes y las partes interesadas, asegurando que las prácticas empresariales sean responsables y estén alineadas con los estándares actuales.
Deja un comentario