El consejero global de privacidad de Google, Peter Fleischer, con su habitual agudeza y sencillez, nos aporta su visión “global” sobre el rumbo actual de la regulación de la Privacidad.
Traducción libre del post de Peter Fleischer 20120525.
Traducción libre del post de Peter Fleischer 20120525.
Mientras Europa se desliza hacia la recesión y el declive económico, ¿cómo se está cambiando la normativa de privacidad en Europa? Lamentablemente, el debate sobre privacidad aquí, al igual que los otros debates políticos en Europa, no versa sobre cómo impulsar la economía digital, sino sobre cómo regularla. Tributación y regulación: ¿es ese el plan europeo para construir su economía digital?
Mientras los legisladores a lo largo y ancho del mundo están cultivando frenéticamente sus economías digitales, ¿qué está pasando en Europa?
Montones y más montones de papeleo están por venir. Los políticos andan por ahí dando ruedas de prensa furiosamente sobre cómo esto va a meter en cintura a Facebook o a Google, como si todas las leyes europeas de privacidad tuvieran que ser redactadas para una o dos empresas. Los bromistas han empezado a denominar a las nuevas propuestas legislativas europeas “Lex Google” o “Lex Facebook”. Pero intentar redactar una ley de privacidad para “meter en cintura” a Google o a Facebook es una receta segura para redactar una mala ley de privacidad que se va a aplicar a todas las compañías en Europa.
Pocas personas han observado realmente cómo está Europa planeando cambiar las leyes fundamentales sobre privacidad. Mientras los politicos están adoptando la postura de que esto es una reducción de los trámites burocráticos, la realidad es que está en camino de convertirse en el mayor aumento del papeleo y de las obligaciones del proceso de cumplimiento en toda la historia del derecho de privacidad de todo el planeta. Más aún, aquí va un juicio que puede que sorprenda a algunos: yo pienso que Facebook y empresas similares podrían arreglárselas muy bien con las nuevas propuestas, de una u otra manera. Pero no hay la menor oportunidad de que la Pequeñas y Medianas Empresas de Europa puedan arreglárselas.
Las PYMES ya son un grupo acosado en Europa, que soportan los mayores costes impositivos laborales y regulatorios de todo el mundo. Los Oficiales de Protección de Datos en las grandes empresas generalmente tienen un montón de recursos, y pueden resolver la burocracia y el papeleo, por más que esto cueste unos cuantos millones de euros más. Para las grandes compañías no es cosa grave si el “impuesto de cumplimiento de protección de datos” se eleva unos pocos de millones de “nuevas pesetas” o de “nuevas liras”. Francamente, me pregunto cómo una PYME podría arreglárselas con este torrente de papeleo y de procesos, y de dónde podrían sacar para pagarlo.
Las PYMES ya son un grupo acosado en Europa, que soportan los mayores costes impositivos laborales y regulatorios de todo el mundo. Los Oficiales de Protección de Datos en las grandes empresas generalmente tienen un montón de recursos, y pueden resolver la burocracia y el papeleo, por más que esto cueste unos cuantos millones de euros más. Para las grandes compañías no es cosa grave si el “impuesto de cumplimiento de protección de datos” se eleva unos pocos de millones de “nuevas pesetas” o de “nuevas liras”. Francamente, me pregunto cómo una PYME podría arreglárselas con este torrente de papeleo y de procesos, y de dónde podrían sacar para pagarlo.
Considera los detalles de este torrente regulatorio y hazte la pregunta de cómo impactarían sobre una PYME las nuevas obligaciones legales como estas a continuación:
- 1) Multas aterradoras por descuidos rutinarios en el papeleo de protección de datos. Se proponen grandes multas para violaciones de protección de datos, algunas de las cuales no son más que descuidos formales o “faltas de pie” [tenis] en la documentación. ¿Alguien piensa en serio que las PYMES europeas están preparadas para ser capaces de informar una brecha de seguridad de datos en menos de 24 horas? Me conmociona ver cómo los legisladores pueden proponer imposición de multas de 1 o 2% de la facturación global de una empresa por no rellenar “adecuadamente” el papeleo, como por ejemplo las “evaluaciones de impacto de privacidad” o “documentación de procesamiento de datos”, especialmente por cuanto ni siquiera existe ningún acuerdo sobre el aspecto que debería tener ese papeleo.
- 2) Delegados de Protección de Datos. ¿Qué pasa si obligamos a todas las empresas de más de 250 trabajadores a nombrar a un Delegado de Protección de Datos? En términos prácticos, ¿de dónde van a salir todas estas personas, por cuanto hoy en día sólo hay un puñado? ¿Pueden las PYMES permitirse el coste de estos nuevos empleados, o externalizar esta función en caras firmas de abogados? ¿O sobrecargar a otros empleados, como el encargado de Recursos Humanos, para que intente llevar este puesto también? Y, no hace falta decirlo, algunas compañías con 250 trabajadores (como empresas de Internet o de salud) tienen pero que muy diferentes impactos en la privacidad que otras (como las empresas de construcción); así que las leyes con reglas fijadas arbitrariamente raramente se adaptan bien a las diferentes realidades del mundo real.
- 3) Evaluaciones obligatorias de impacto de privacidad. ¿Qué tendrán que hacer las PYMES si se las obliga a elaborar informes de impacto de privacidad en todo nuevo proyecto? Por más que yo pienso que tales evaluaciones de impacto de privacidad pueden ser una una valiosa herramienta de cumplimiento de privacidad para algunos proyectos, también sé que resultan costosas en tiempo y dinero. ¿Pueden manejar las PYMES este coste adicional? Aunque las “evaluaciones de impacto de privacidad” todavía no están definidas, yo estimo que hacer una costaría, a groso modo, entre 10.000 y 100.000 euros. Me imagino que la mayoría de las PYMES tendrán varios proyectos, y las empresas grandes muchos de ellos, que requerirían tales evaluaciones de impacto de privacidad.
- 4) Documentación obligatoria de proceso de datos. Documentar tales procesos de manejo de datos es difícil y consume tiempo. ¿Cuánto costaría a las PYMES documentar sus prácticas de proceso de datos? Así por lo alto yo diría que la carga de cumplir con este requisito sería comparable al tiempo/dinero empleado en cumplir con las leyes tributarias. Nadie sabe lo que significa documentar “adecuadamente” un proceso de datos, pero sin embargo, estas confusas normativas de privacidad que se proponen amenazan con multas gigantescas el incumplimiento de un estándar no definido.
Confío en que se escuche la voz de las PYMES en el venidero proceso político. En tanto en cuanto las leyes se aprueben para “meter en cintura” a Google y a Facebook, puedes estar seguro de que las PYMES van a quedar atrapadas en unas reglas que no tienen sentido para ellas. Pero me pregunto si los políticos pueden limitar un sobrepeso regulatorio que sería mortífero para las PYMES. Me preocupa el impacto de una excesiva regulación de la economía digital en Europa; la cual sin duda va a ser la más prometedora del mundo para crear los trabajos del futuro. Toda empresa tecnológica de éxito comienza como PYME. Europa está cometiendo un crimen contra su juventud, cuando el 50% de los jóvenes de muchos países aquí están sin trabajo. Las PYMES crean trabajo, especialmente para los jóvenes. Aunque los políticos pueden revolotear por ahí y sacar titulares sobre cómo estas nuevas multas propuestas van a meter en cintura a Facebook y similares compañías, la realidad es que toda Ley se aplica a todas las empresas, incluyendo a las PYMES. Sin duda podemos resolver cómo aplicar las obligaciones documentales de protección de datos de una manera más sensata, más adaptada a la sensibilidad y a la escala de los procesamientos de datos, que la que se incluye en la actual propuesta de ley. No asfixiemos a las pymes europeas como daño colateral desafortunado al tratar de “meter mano” a las grandes empresas americanas de Internet.
¿Está Europa a punto de amenazar a las empresas con unas multas tan elevadas que las va a poner en quiebra por nimios errores burocráticos y de documentación? Cuando países de todo el mundo comienzan la competitiva carrera para construir sus economías digitales, ¿nosotros en Europa estamos comenzando la carrera pegándonos un tiro en el pie? Es posible estar profundamente comprometido hacia la privacidad sin tener que ahogarse en un torrente de burocracia de privacidad.
o0o
No hay comentarios:
Publicar un comentario