El establishment de la protección de datos, en todo el mundo, ha estado inventando un montón de nuevos programas de cumplimiento de privacidad. Todas estas diversas iniciativas, bien intencionadas, tienen la finalidad de servir al mismo propósito: mejorar las protecciones de privacidad. Todas ellas son, o probablemente pronto lo serán, obligatorias para la mayoría de las grandes empresas. A duras penas puedo seguir la pista de todas estas diferentes iniciativas, pero he aquí algunas que me he esforzado en tratar de entender:
- Responsabilización
- Privacidad desde el Diseño
- Evaluaciones de Impacto en la Privacidad
- Acuerdos Transaccionales
- Auditorías (internas y externas)
- Revisiones Regulatorias
- Documentación de Proceso de Datos
- Notificaciones/Inscripciones de Bases de Datos
- Reglas Corporativas Vinculantes (BCRs)
- Programas de Cumplimiento de Puerto Seguro
Muchos de mis conocidos en el campo de la privacidad me han preguntado qué es lo que pienso de todo esto: ¿Estos programas han de desarrollarse independientemente, por más que se solapen y cubran el mismo aspecto? ¿Tiene alguien idea de cuánto va a costar todo esto? ¿Cuándo has de solicitar ayuda para implementar estos programas? ¿Se podría ejecutar un único programa de cumplimiento de privacidad que fuera lo bastante sólido como para alcanzar todas estas metas? Claramente, todos nosotros los profesionales de la privacidad estamos batallando para comprender esto.
Estoy seguro de que todos creemos que los programas de privacidad requieren un sólido cimiento de programa de cumplimiento para ser efectivos. La mayoría de nosotros seguramente cree que los diferentes actores deberían tener libertad para desarrollar programas que encajen en sus propias culturas. Las ágiles empresas de Internet tienen culturas muy diferentes a las de las burocracias gubernamentales; así que naturalmente estos mundos culturales diversos deben tener libertad de diseñar programas que funcionen en sus respectivas culturas. Claramente, una sola talla no vale para todos. Los programas han de ser adaptados al tamaño y la sensibilidad del procesamiento. Una base de datos gubernamental de registros de abusos infantiles es más sensible que una base de datos de unos logs analíticos de algún sitio web; así que sería erróneo intentar ejecutar el mismo programa de cumplimiento para ambas.
Sobre el coste: a pesar de todas las buenas intenciones que motivan estas iniciativas de cumplimiento, nadie ha comenzado siquiera a calcular lo que van a costar todos estos programas de cumplimiento. Por ejemplo, Europa: he leído algunas declaraciones de políticos sobre que las futuras leyes de privacidad europeas reducirán el coste de cumplimiento en las empresas. Esto sencillamente no es creíble. De un lado, bajo las nuevas regulaciones, las empresas en Europa se ahorrarán un dinerillo por cuanto que ya no tendrán que rellenar los formularios de solicitud de inscripción de ficheros en los diversos registros nacionales europeos. Pero puesto en perspectiva, eso es el chocolate del loro. Del otro lado, la imposición de nuevas obligaciones de cumplimiento (evaluaciones de impacto en la privacidad obligatorias, Delegados de Protección de Datos obligatorios, notificaciones de brechas de seguridad obligatorias, documentación de proceso de datos obligatoria) costará un riñón. El problema es que nadie sabe cuánto va a costar todo esto. Yo estoy funcionando sobre la educada conjetura de que las actuales propuestas de cumplimiento de privacidad europeas van a multiplicar por diez los costes de cumplimiento de privacidad de las empresas de Europa, a partir de, digamos, 2.015. Sí: diez veces más. Eso no incluye los costes de las multas y sanciones por los incumplimientos, que ahora se propone que se eleven a ciertos porcentajes del volumen de ventas mundial de la empresa. Este aumento masivo de costes de cumplimiento es en gran parte el resultado de las sanciones que se están proponiendo en Europa para el hecho de no cumplimentar adecuadamente los programas de cumplimiento. Yo todavía tengo la esperanza de que se articulen unas obligaciones más realistas para las Pequeñas y Medianas Empresas, pero la gran tendencia va claramente hacia costosas nuevas obligaciones de cumplimiento en Europa.
Tengo la impresión de que mucha de la gente que está debatiendo las leyes de privacidad no tienen ni idea (y quizás ni les importa) de cuánto acaba costando esto. Tampoco he leído ningún clásico análisis de coste/beneficio sobre estas nuevas obligaciones. Como abogado entrenado en Harvard en el análisis de coste/beneficio de las regulaciones gubernamentales, estoy sorprendido de ver que ha habido absolutamente cero análisis académico o económico para determinar cuáles regulaciones de cumplimiento de privacidad son efectivas y cuáles son legajos burocráticos sin sentido.
En el momento de escribir este post no conozco en realidad cómo van a encajar juntas todas las citadas iniciativas de cumplimiento. No sé cuáles son superfluas. Todo esto todavía ha de ser desarrollado. Aunque cada uno de los programas citados se solapa con otros de algún modo, cada uno de ellos también es ligeramente diferente. Tendremos que solucionar cómo minimizar la duplicidad entre estos programas, o vamos todos a desperdiciar nuestro tiempo y dinero en re-inventar la rueda.
Las iniciativas de cumplimiento de privacidad hoy en día me recuerda a los días pioneros del ferrocarril, cuando cada línea ferroviaria tenía su propio ancho de vía, con lo que los trenes sólo podían viajar por una línea. Al final todo esto se resolverá al igual que el ancho de vía acabó por estandarizarse; pero mientras tanto, me temo que todos vamos a estar dando vueltas en círculos. Como en los tiempos pioneros del ferrocarril, todavía estamos en los tiempos fronterizos pioneros, experimentales, ineficientes, no estandarizados, de los programas duplicados de cumplimiento de la privacidad.
o0o
No hay comentarios:
Publicar un comentario