La legislación de protección de datos en el mundo en 2020
El 2020 será transcendental para la legislación de protección de datos en todo el mundo, y es probable que la aplicación de la Ley de Privacidad del Consumidor de California (CCPA) acapare los titulares y establezca el tono para una mayor legislación de los Estados Unidos a nivel estatal y federal. En Brasil y Tailandia entrarán en vigor nuevas legislaciones de protección de datos y países como India y Corea del Sur se unen al movimiento global en favor de leyes de protección de datos más estrictas. ¡Echemos un vistazo más de cerca a lo que las compañías pueden esperar de la escena legal de protección de datos en 2020!
La CCPA ya está aquí
El año comenzó con una explosión cuando la CCPA entró en vigor oficialmente el 1 de enero.
El Fiscal General (AG) de California puede hacer cumplir la CCPA solamente seis meses después de que promulgue las regulaciones finales o desde el 1 de julio de 2020, lo que ocurra primero. Sin embargo, el Fiscal General Xavier Becerra ha declarado que la fecha límite de cumplimiento de la CCPA sigue siendo el 1 de enero. Esto significa que el Fiscal General aplicará la ejecución de manera retroactiva, cubriendo incumplimientos que datan del 1 de enero de 2020.
Dicho esto, el Fiscal General también hizo hincapié en que su despacho buscará a las empresas que están haciendo todo lo posible por cumplir. Las sanciones civiles que el Fiscal General puede emitir bajo el CCPA varían desde hasta 2500$/infracción involuntaria o hasta 7500$/infracción intencional evaluada por consumidor.
La CCPA también otorga a los consumidores un derecho privado de acción y daños legales contra las empresas que sufren filtración de datos debido a un fallo por su parte de implementar y mantener procedimientos y prácticas de seguridad razonables. Sin embargo, el derecho privado de acción se aplica solo a una serie de categorías de información personal según se define en el estatuto de notificación de incumplimiento de California, no la CCPA.
Los daños legales varían desde 100$ a 750$ por consumidor por incidente. Los consumidores que deseen iniciar un litigio deben anunciar sobre la infracción y tienen 30 días para rectificarla. Si la compañía logra resolver la infracción en ese marco de tiempo, el consumidor no podrá reclamar los daños legales del litigio. Los consumidores de California pueden ejercer su derecho privado de acción a partir del día 1 de enero de 2020.
Leyes de protección de datos que entrarán en vigor en 2020
Otras dos leyes importantes de protección de datos que entrarán en vigor en 2020 son la Ley de Protección de Datos Personales (LGPD) de Brasil y la Ley de Privacidad de Tailandia (PDPA).
La LGPD, que sigue de cerca el modelo de la Regulación General de Protección de Datos (GDPR) de la Unión Europea, entrará en vigor el 15 de agosto de 2020 y se aplicará a todas las compañías que manejan información personal de los residentes de Brasil, estén o no físicamente localizados en el país. Con las disposiciones que proporcionan la creación de la Autoridad Nacional de Protección de Datos (ANPD), el órgano encargado de la aplicación de la nueva legislación, finalmente promulgada en 2019, la LGPD está ahora lista para seguir los pasos de la GDPR.
La LGPD obliga a las compañías a adoptar medidas seguras, técnicas y administrativas capaces de proteger datos personales de accesos no autorizados, teniendo en cuenta el estado actual de la tecnología o se enfrentará a multas de hasta el 2% de los ingresos totales de Brasil en el año anterior o hasta 50,000,000 de reales brasileños (aproximadamente 12,300,000 $) la que sea más alta.
La PDPA de Tailandia, una ley que lleva veinte años en proceso, fue finalmente aprobada por la Asamblea Legislativa Nacional al comienzo del 2019 y tras recibir Aprobación Real y ser publicada en la Gaceta del Gobierno, ahora está previsto que entre en vigor el 27 de mayo de 2020. La PDPA incluye algunos de los requisitos más estrictos de la GDPR, incluso la necesidad de nombramiento de oficiales de protección de datos, una protección mayor para las categorías más sensibles de datos y un alcance extraterritorial. De todos modos, es importante mencionar que las personas que no cumplan el PDPA se enfrentarán no solo a multas sino también a la posibilidad de enfrentarse a acciones penales y encarcelamiento de hasta un año.
Nuevas leyes de protección de datos en el año 2020
Es probable que varias iniciativas de legislación de protección de datos pasen por las etapas finales de aprobación en 2020. La más destacada es la Ley de Protección de Datos Personales de la India 2018 (PDPB), cuyo borrador fue publicado en julio de 2018 por el Comité Srikrishna. El proyecto de ley fue revisado y presentado ante la cámara baja del Parlamento de la India, el Lok Sabha, el 11 de diciembre de 2019, pero fue enviado a un comité parlamentario conjunto para nuevas deliberaciones antes de ser aprobado.
Desde el primer borrador, el proyecto de ley ha demostrado ser controvertido, con empresas internacionales que impugnan su política de localización de datos que requeriría que cualquier compañía que procese los datos personales de una persona interesada de India almacene una copia de esos datos en territorio indio. Su versión revisada generó temores de que el PDPB le otorgaría al gobierno acceso irrestricto a todos los datos de los ciudadanos con fines de seguridad nacional, pero también una serie de tipos de circunstancias. Si bien es probable que el PDPB sufra más cambios en el proceso de aprobación, se espera que se apruebe en 2020.
Mientras tanto, Corea del Sur está alineando sus leyes de privacidad de datos existentes con la GDPR con la esperanza de recibir una decisión de adecuación de la Comisión Europea el próximo año. Una decisión positiva significaría que los datos podrían circular libremente entre el bloque europeo y Corea del Sur, lo que facilitaría las transferencias transfronterizas de datos y las operaciones comerciales. En 2019, entre otros, Corea del Sur fortaleció sus leyes de protección de datos infantiles, lo que obligó a las empresas a obtener el consentimiento de los padres o tutores legales para recopilar datos de consumidores menores de 14 años.
En 2020, Corea del Sur puede enmendar aún más, con tres proyectos de ley de protección de datos en espera de aprobación en la Asamblea Nacional. Entre ellos se encuentra una revisión de la Ley de Protección de la Información Personal (PIPA) que actualizaría la Comisión de Promoción de la Información Privada existente, un cuerpo asesor, a una autoridad de aplicación independiente, estableciendo efectivamente una agencia de aplicación unificada para manejar todos los asuntos de privacidad.
Conclusiones
Como 2018 fue el año de la GDPR, 2020 será el año del CCPA. Es probable que su aplicación sirva de ejemplo para otros estados de los EEUU y sirva como un modelo secundario para la legislación internacional de protección de datos que busque una alternativa al modelo estricto de la GDPR.
Al mismo tiempo, los países que buscan establecer un flujo libre de datos entre ellos y el bloque europeo a través de decisiones de adecuación de la Comisión Europea continuarán presionando por una legislación de protección de datos nueva o actualizada en línea con la GDPR.
