Las propuestas del gobierno para liberalizar el régimen de protección de datos del Reino Unido en apoyo de una mayor innovación, investigación y crecimiento económico, junto con una expansión del mandato de la Oficina del Comisionado de Información (ICO) para apoyar estos objetivos, han provocado discusiones entre los expertos en privacidad de datos y seguridad de la información. con algunos preocupados de que el gobierno de Boris Johnson se proponga destripar el Reglamento General de Protección de Datos (GDPR) y abrir la puerta a una captura imparable de datos personales y privados.
Westminster declaró su intención de realizar cambios en la regulación de datos en un importante anuncio el 26 de agosto de 2021, en el que también detalló un papel mejorado para el nuevo comisionado de información y planea buscar acuerdos de adecuación de datos con varios países a los que el gobierno se dirige como un foco del comercio británico, ahora que ha aislado con éxito al Reino Unido de sus socios europeos.
El secretario digital Oliver Dowden habló sobre los cambios aún nebulosos y los describió en entrevistas con los medios de comunicación nacionales como un medio para poner fin a algunos de los mecanismos de consentimiento que han sido fundamentales para el funcionamiento del GDPR, como la marca de consentimiento de las cookies emergentes. cajas, un tema que le gustará al votante promedio.
Pero los expertos en privacidad de datos ya advierten que el gobierno se está preparando para problemas en más de un sentido. Algunos argumentan que la ambición del gobierno de crear más libertades sobre cómo las organizaciones pueden hacer uso de los datos, sin dejar de retener la capacidad de los ciudadanos para controlar sus datos y tomar decisiones al respecto, no va a ser una pregunta fácil.
El socio de protección de datos de Mishcon de Reya, Adam Rose, fue uno de los que planteó esto como un problema y dijo: “Cuadrar el círculo de dar a los ciudadanos y consumidores más control sobre cómo se usan sus datos, al tiempo que brinda a las empresas y al gobierno una mayor libertad para usar esos datos, será el gran desafío “.
Chris Waynforth, vicepresidente de área de Imperva para el norte de Europa, también expresó su preocupación. “El RGPD se introdujo para salvaguardar los derechos y la privacidad de los ciudadanos, ayudando a proteger los datos, y aunque ciertamente siempre se pueden realizar mejoras, el gobierno deberá tener cuidado de que estos derechos ganados con tanto esfuerzo no se diluyan al realizar cambios”, él dijo.
“Ya es cada vez más difícil garantizar la seguridad de los datos. Según Imperva Research Labs, la cantidad de violaciones de datos está creciendo en un 30% anual y la cantidad de registros comprometidos está aumentando exponencialmente más. Al mismo tiempo, el 15% de las infracciones se siguen produciendo porque los datos confidenciales se dejan a disposición del público. A menos que los cambios tengan en cuenta estos riesgos y las organizaciones tomen medidas para proteger los datos cada vez más vulnerables, aún podríamos encontrar que el daño a la privacidad y la seguridad supera los beneficios “.
Curso de colisión
Además, dado que el Reino Unido ha logrado recientemente un acuerdo de adecuación de datos con sus antiguos socios de la Unión Europea (UE) a fines de junio, cualquier cambio propuesto en la forma en que el Reino Unido regula los datos llamará la atención en Bruselas, dados los múltiples intentos del Reino Unido de unilateralmente cambiar partes del acuerdo Brexit que negoció y firmó.
Y puede estar seguro de que la UE voluntad estar observando la consulta como un halcón, con un grupo de abogados listos para entrar en acción si es necesario.
Durante las negociaciones con el Reino Unido, los miembros del Parlamento Europeo (MEP) presionaron a la Comisión Europea (CE) para que adoptara una línea aún más estricta sobre las exenciones en la regulación de protección de datos del Reino Unido en algunas áreas, como la seguridad nacional y la inmigración. Cuando se firmó el acuerdo de adecuación de datos, la vicepresidenta de valores y transparencia de la CE, Věra Jourová, dijo: “Estamos hablando de un derecho fundamental de los ciudadanos de la UE que tenemos el deber de proteger. Es por eso que tenemos salvaguardas importantes, y si algo cambia en el lado del Reino Unido, interveniremos “.
Rose, de Mishcon de Reya, dijo: “Solo un par de meses después de que la CE concediera al Reino Unido una decisión de adecuación en relación con su régimen de protección de datos posterior al Brexit, sobre la base de que la ley del Reino Unido era esencialmente equivalente al régimen de GDPR de la UE, hoy Los anuncios colocan al Reino Unido en un camino de colisión con la UE, pero también más ampliamente con las organizaciones de la sociedad civil, con la probabilidad de que se produzcan litigios de datos nacionales graves en el futuro “.
Greg Palmer, un abogado de la práctica TMT / IP de Linklaters, dijo: “Al explorar su nueva independencia regulatoria, el gobierno del Reino Unido será consciente de la tensión entre los acuerdos de adecuación a los que llega y su propio estatus de adecuación con la UE. Si va demasiado lejos al permitir que los datos fluyan demasiado o con demasiada libertad, corre el riesgo de que se revise su estado de adecuación de la UE “.
David Smith, de JMW Solicitors, añadió: “Es probable que cualquier alejamiento del RGPD tenga un impacto negativo en cualquier negocio que busque comerciar con consumidores fuera del Reino Unido. Si buscan comerciar con consumidores en la UE, deberán cumplir con el RGPD de la UE de todos modos como condición para comerciar con ellos.
“Si comercian con consumidores en California, China o el número cada vez mayor de otros países que han implementado regímenes de protección de datos similares al GDPR, entonces deberán cumplir con ellos. En la práctica, esto significa que la mayoría de las empresas seguirán cumpliendo con el RGPD, o algo muy parecido, incluso si el gobierno relajara el régimen del Reino Unido como consecuencia de un deseo de comerciar fuera del Reino Unido, algo que el gobierno está interesado en que los negocios deberían hacer.
“Ciertamente, el gobierno debería observar de cerca la guía que respalda el GDPR para asegurarse de que ofrece opciones prácticas para las empresas y ciertamente podría trabajar hacia decisiones de adecuación con diferentes países, algo en lo que la UE no ha sido muy buena. Sin embargo, es probable que socavar los principios básicos del GDPR sea más un truco publicitario que una medida práctica centrada en el negocio “.
¿Razones para estar alegre?
Sin embargo, Palmer de Linklaters dijo que había señales claras de que muchos – aquellos que ven las restricciones actuales a la exportación de datos como “demasiado onerosos y una barrera al comercio” – estarían contentos con las propuestas, y puede haber otras razones para estar contentos.
“Esta también es una oportunidad importante para que el Reino Unido demuestre que puede seguir protegiendo los datos mientras crea un entorno favorable a las empresas, especialmente para las PYME”, dijo.
Palmer dijo que la incorporación del ex regulador de protección de datos de Nueva Zelanda John Edwards a la combinación – Edwards es el candidato preferido para suceder a la saliente Elizabeth Denham como nueva comisionada de información del Reino Unido – podría ser una buena medida por parte del gobierno.
“Él [Edwards] ha estado al frente del regulador de protección de datos de Nueva Zelanda durante más de siete años ”, dijo. “Eso le habrá obligado a vigilar de cerca el estado de adecuación de Nueva Zelanda con la UE y cómo la UE considera que dos leyes diferentes proporcionan una protección de datos esencialmente equivalente”.
Eduardo Ustaran, codirector de la práctica global de privacidad y seguridad cibernética en Hogan Lovells, también se mostró optimista. Dijo que los planes demostraron que podría haber margen para el desvío de la ley de protección de datos de la UE al tiempo que se mantiene el GDPR como un marco regulatorio efectivo.
“Lo que esto significa en la práctica es que la forma en que se abordan los flujos de datos internacionales no es idéntica a la forma en que se tratan los mismos flujos de datos en la UE, pero esto no significa necesariamente que la protección vaya a desaparecer”, dijo. . “No significa eliminar el marco GDPR, sino adaptarlo para hacerlo lo más progresivo y eficaz posible.
“Por ejemplo, el modelo de notificación y consentimiento no es adecuado para regular las cookies y otras formas tecnológicas sofisticadas de recopilar datos sobre nuestras interacciones electrónicas. El Reino Unido lo sabe y la UE lo sabe “.
Ustaran agregó: “Parece que el Reino Unido está tomando la iniciativa en la búsqueda de una forma alternativa y más efectiva de proteger la privacidad en línea y al mismo tiempo nos permite usar Internet sin tanta fricción. Esa no es una tarea fácil y requerirá una política regulatoria que sea amigable con la tecnología pero robusta para hacer cumplir la protección de datos por diseño y por defecto ”.
Una consulta sobre las propuestas comenzará más adelante en 2021.