Internet ha creado mercados verdaderamente globales para empresas que alguna vez solo fueron locales y que podrían haber tenido dificultades para llegar a un público lo suficientemente grande como para ser rentables. El acceso a cualquier sitio web, desde casi cualquier lugar del mundo, y la existencia de empresas que ofrecen la posibilidad de que clientes interactúen con servicios o productos que se ofrecen en lugares lejanos, ha revolucionado las oportunidades comerciales.

Este incremento de las oportunidades conlleva muchos desafíos: por ejemplo, las opciones de pago y las regulaciones fiscales, las cuales pueden diferir de un país a otro. Afortunadamente, las empresas pueden utilizar una serie de proveedores externos y confiar en ellos para proporcionar a los usuarios sistemas de pago y la experiencia necesaria para el comercio electrónico, al tiempo que cumplen con las leyes y regulaciones locales. De esta manera, el emprendedor puede concentrarse en entregar bienes o servicios a los clientes. Esto abre la oportunidad, incluso a las empresas más pequeñas, de comercializar sus productos y/o servicios a nivel mundial.

Llevar adelante un negocio en línea generalmente requiere la recopilación de datos de clientes y visitantes a un sitio web. Luego, esta información suele ser utilizada para el análisis de un sitio, suscripciones a boletines, orientación de anuncios, o para la suscripción de un servicio o compra de un producto. Dependiendo de la ubicación del negocio, y de la ubicación, residencia o ciudadanía del visitante o cliente, la compañía puede necesitar cumplir con la legislación vinculada a la privacidad de los datos. Como consumidor, soy un defensor de la necesidad de proteger mi información personal a través de una legislación sólida, pero las empresas que realizan negocios globales pueden estar entrando en un campo minado.

En febrero, hice una presentación en CyberSecCon2020 en Auckland, Nueva Zelanda, sobre las lecciones aprendidas a partir de los requisitos de regulaciones de privacidad de datos como el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) y la Ley de Privacidad del Consumidor de California (CCPA), ante el proyecto de Ley de Privacidad de Nueva Zelanda, que actualmente se está abriendo camino a través del procedimiento legislativo y  se espera que se convierta en ley en los próximos meses.

Hay más de 100 países en el mundo que tienen alguna forma de legislación de privacidad de datos, que va desde limitada hasta robusta. Luego, agregue una cantidad de países, como los Estados Unidos, que tienen una legislación individual para cada estado; un tema por demás complejo.

Dando un salto de fe

Imaginemos un cliente ficticio, Francisco, ciudadano de Brasil, residente legal de California y que con frecuencia viaja por negocios. Francisco ha decidido cumplir uno de sus sueños que es hacer bungee jumping en el lugar donde nació esta práctica: Nueva Zelanda. Viaja de California a Francia por negocios y luego viajará a Nueva Zelanda, pero mientras está en Francia hace una reserva para realizar esta práctica con una empresa con sede en Nueva Zelanda.

  • Para el propósito de mi ejemplo, imaginemos que 50,000 residentes de California al año visitan el negocio de bungee jumping en Nueva Zelanda. Como residente de California, Francisco está protegido por CCPA, ya que la legislación se aplica a los residentes del estado, independientemente de dónde se encuentren ellos o las empresas con las que realizan transacciones.
  • La transacción se inició en Francia, un país que forma parte de la Unión Europea (UE). La legislación GDPR de la UE cubre a cualquier persona ubicada en un país de la UE en el momento de la recopilación de información personal.
  • El sitio web en el que Francisco realiza la transacción se encuentra en Nueva Zelanda, donde la legislación propuesta se aplica a las agencias (empresas) ubicadas allí.

¿Qué legislación debe cumplir la empresa en Nueva Zelanda? El año pasado, cuando hice a alguien de la Comisión Europea una pregunta hipotética similar, respondieron "esa es una gran pregunta".

Es probable que la confusión exista también desde la perspectiva de Francisco. Como ciudadano brasileño, puede pensar que la Ley General de Protección de Datos (LGPD) de Brasil brinda protección o que, como residente de California, la CCPA brinda su protección.

Extendamos el escenario hipotético: Francisco regresa a su hogar en California y solicita a la compañía de bungee que elimine su información personal y se niegan o no confirman la solicitud. ¿A qué regulador debe presentar una queja? Es muy probable que los consumidores no entiendan sus derechos cuando las empresas se encuentran en países donde no son residentes, o podrían asumir que el proceso es demasiado complicado cuando una empresa que posee sus datos personales se encuentra en otro país.

Cada una de las regulaciones mencionadas en mi ejemplo tiene diferentes requisitos: según GDPR, los consumidores pueden optar por permitir la recopilación de datos, mientras que según la CCPA pueden optar por no dar consentimiento. El GDPR establece que los datos deben estar cifrados; la CCPA y la propuesta de Ley de Privacidad de Nueva Zelanda establecen que se deben tomar medidas de seguridad razonables, pero no especifican más detalles. Las diferencias en los requisitos son numerosas y, en el caso desafortunado de que se produzca una violación de datos: ¿a quién se le debe notificar?, ¿los múltiples reguladores pueden imponer multas en diferentes países?, ¿se aplicará uno de los sistemas legales o serán varios? Puede haber un precedente legal para el cual la regulación tiene prioridad, pero esto no está claro para mí, que no soy abogado.

¿Confundido? Probablemente sí.

El emprendedor que mencionamos antes necesita claridad para que la privacidad de los datos no impida que nadie realice negocios en ningún lugar. Y los consumidores deberían poder visitar cualquier negocio en línea con la garantía de que sus datos son protegidos de forma responsable, independientemente de dónde se encuentren ellos o el negocio, incluso en países sin legislación específica.

Una regla que unifique todas las regulaciones

Internet es un mercado global y existen algunos acuerdos de privacidad de datos existentes que intentan proporcionar una línea de base. Estos son limitados en participación y a nivel regional. Se puede encontrar una lista de estos en el sitio web de Electronic Frontier Foundation.

¿Es hora de establecer un conjunto común de reglas sobre privacidad de datos, independientemente del lugar de residencia, ciudadanía o ubicación? Hay precedentes para tales reglas. Por ejemplo, 123 países firmaron en 1994 el Acuerdo de Marrakech de la Organización Mundial del Comercio (OMC, por sus siglas en inglés) que regula el comercio internacional entre naciones. Si aceptamos que los datos ahora son un artículo básico que tiene un valor y se comercializa, entonces tal vez podría incluirse en un acuerdo estándar, de la misma manera que la OMC regula las normas comerciales. Una norma verdaderamente internacional necesitaría adoptar principios básicos y los países siempre podrían complementarlos con sus propias enmiendas, de la misma manera que los países adoptan acuerdos comerciales entre ellos además de la norma actual de la OMC.

Estoy usando la OMC como ejemplo, pero hay numerosas organizaciones globales donde podría residir un acuerdo de privacidad de datos centralizado. Probablemente, el elemento más importante de cualquier regulación internacional ampliamente acordada sería definir qué regulador es responsable y cuándo, aclarando si un ciudadano, residente o su ubicación tiene prioridad o si una empresa es responsable por ubicación o lugar de transacción.

En CyberSecCon2020, todos los asistentes con los que hablé estaban claramente involucrados en la preparación del Proyecto de Ley de Privacidad de Nueva Zelanda, pero en una conferencia de seguridad que cubre la privacidad de datos, esto probablemente sea de esperar. Las personas que no asisten son el desafío. Muchas empresas pueden querer cumplir y desean vender y realizar transacciones a nivel mundial, pero están confundidas acerca de lo que deben cumplir.

Existen principios básicos para la privacidad de datos que son comunes en la mayoría de las regulaciones y legislaciones:

  • Los motivos por los que se recopila información personal, dónde se recopila y cómo se recopila.
  • Cómo se protege la información personal del acceso no autorizado y cómo se almacenan los datos.
  • El derecho de una persona a saber qué información personal de ellos es recopilada.
  • La capacidad de solicitar la corrección de datos inexactos y el derecho a solicitar que se eliminen los datos.
  • Limitaciones sobre cómo las organizaciones pueden usar la información recopilada.

Desafortunadamente, los mismos principios básicos no son tan claros cuando se trata de requisitos de seguridad, ya que algunas legislaciones detallan requisitos específicos y otras hablan de seguridad "razonable". Antes de que el CCPA entrara en vigor en enero, fui coautor de un white paper que brinda una visión sobre lo que podrían considerarse requisitos de seguridad esenciales. Recomiendo que cualquier empresa que recopile o almacene datos siga los principios enumerados en la sección ESET’s guide to reasonable security de ese white paper.