Mucho ha sucedido en el frente de la privacidad mundial desde que entró en vigor el Reglamento. En general, las empresas que recogen y procesan información personal de los residentes de la UE se han adaptado, poniendo en marcha nuevos sistemas y procesos que garantizan que las personas entiendan qué datos se recogen sobre ellas, puedan corregirlos si son inexactos y eliminarlos o trasladarlos a otro lugar, si así lo desean.
Esto ha mejorado la forma en que las compañías gestionan los datos personales de sus clientes y ha servido de inspiración para poner en marcha un movimiento global, que ha provocado que países de todo el mundo adopten nuevas leyes de privacidad, que siguen el modelo de GDPR. Brasil, China, India, Japón, Corea del Sur y Tailandia se encuentran entre las naciones que han propuesto y aprobado nuevas leyes en este sentido, o están considerando cambios a las que ya tienen para alinear sus regulaciones de privacidad con el GDPR.
Capacitar a las personas para que gestionen su información a través de nuestro panel de control de privacidad
La fuerza que ha impulsado este movimiento global para modernizar las leyes de privacidad es que los ciudadanos han comprendido que, en un momento en el que la tecnología cambia la forma en que la gente crea y comparte información, la privacidad de sus datos personales es un derecho. Los usuarios esperan beneficiarse de la tecnología digital sin perder el control de su información personal. Microsoft fue la primera empresa en proporcionar a sus clientes derechos de control de sus datos siguiendo los principios de GDPR, y no sólo en Europa, sino en todo el mundo.
Un año más tarde, el número cada vez mayor de personas que utilizan nuestro panel de control de privacidad es una clara señal de que la gente quiere ser capaz de controlar sus datos. Se trata de una herramienta que permite que nuestros clientes puedan gestionar su configuración de privacidad, ver qué datos hemos almacenado de ellos y borrarlos si así lo desean. Esto incluye todo tipo de datos, desde los de navegación e historial de búsqueda, hasta la actividad de localización, películas y TV vistas a través de una aplicación o servicio de Microsoft, y datos de salud en Microsoft Health. Desde que GDPR entró en vigor, más de 18 millones de personas en todo el mundo han utilizado nuestra herramienta para gestionar su información personal. Estados Unidos continúa siendo, tanto per cápita como en números absolutos, el país con el nivel más alto de uso de la misma, con unos 6,7 millones de personas que ya lo han hecho. Asimismo, no es de extrañar que los residentes de los países europeos también representen un porcentaje significativo de personas que han visitado este panel de control de privacidad;. Así, hasta la fecha, más de 4 millones de nuestros clientes en la UE se han conectado para gestionar sus datos.
Pero la demanda es verdaderamente global. Japón ocupa el segundo lugar en el uso de esta consola de gestión -dashboard- de privacidad y Canadá el quinto. Brasil, China, México y Australia son otros de los países que se encuentran entre los 10 primeros en este ranking.
Transformar la cultura y promover la privacidad en la economía digital
En Microsoft estamos plenamente comprometidos con la privacidad. Es una de las claves de nuestra estrategia y misión como compañía. Hemos adoptado plenamente GDPR, al tiempo que hemos llevado a cabo un profundo cambio cultural, comenzando por el nivel ejecutivo de la organización y que se ha extendido al resto. Hoy en día, en Microsoft, nuestra responsabilidad de proteger la privacidad de nuestros clientes es el punto de partida de todo lo que hacemos. Nuestro compromiso por un mayor control y empoderamiento de los usuarios es más fuerte que nunca.
Y los resultados de esta transformación cultural se reflejan en los productos y servicios que ponemos a disposición de nuestros usuarios. El mes pasado, por ejemplo, anunciamos nuevos avances y medidas para aumentar la transparencia sobre los datos que recopilamos cuando las personas utilizan nuestros productos, proporcionándoles un mayor control sobre cómo se utilizan sus datos. Entre estos pasos se encuentra la descripción de los datos que recopilamos en un lenguaje claro y sencillo, y facilitar el control de la información personal de las personas. Para aumentar la transparencia, estamos mejorando la documentación e introduciendo un nuevo informe bianual sobre nuestros procedimientos de recopilación de datos.
Asimismo, estamos poniendo a disposición de nuestros clientes herramientas para ayudarles a cumplir con sus propias obligaciones de privacidad bajo el marco de GDPR. Por ejemplo, para facilitar a los desarrolladores de juegos el cumplimiento del Reglamento, hemos creado herramientas para que puedan permitir a los jugadores ver o eliminar los datos que se almacenan sobre ellos.
También estamos ofreciendo funciones que mejoran la forma en que las empresas protegen los datos confidenciales y protegen la privacidad de sus empleados y clientes. Ejemplo de ello es la encriptación que permite a las empresas proteger los datos confidenciales, entre los que se encuentran los de las tarjetas de crédito y las identificaciones nacionales, como los números de la Seguridad Social en Estados Unidos.
Por otro lado, para ayudar a las empresas a proteger la información confidencial almacenada en dispositivos móviles, pusimos a su disposición un conjunto de funciones avanzadas de privacidad y seguridad que permiten a los administradores de TI de las compañías aplicar mejor las políticas de protección de privacidad y seguridad. Y este pasado mes de abril, lanzamos nuevas herramientas de privacidad para Office 365 ProPlus que proporcionan un mayor control sobre los datos de diagnóstico que se envían a Microsoft, así como sobre las funciones opcionales cloud en Office, que mejoran la funcionalidad.
Hacia un marco para nuevas leyes de privacidad en los EE.UU. y la interoperabilidad en todo el mundo
No importa cuánto trabajo hagan las empresas como Microsoft para ayudar a las organizaciones a proteger sus datos confidenciales y capacitar a las personas para que gestionen sus propios datos, preservar de forma sólida el derecho a la privacidad siempre será fundamentalmente una cuestión que incumbe a los gobiernos. A pesar del alto nivel de interés en ejercer control sobre los datos personales de los consumidores estadounidenses, Estados Unidos aún no se ha unido a la UE y a otros países del mundo para aprobar una legislación nacional acorde al uso actual que hacen los ciudadanos de la tecnología en su vida diaria.
En ausencia de una acción federal, California dio un primer paso importante en el avance de la protección de la privacidad con la aprobación de la Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés), que entrará en vigor el 1 de enero de 2020. Un hito para la ley de privacidad de los Estados Unidos, la CCPA fue la primera ley en los Estados Unidos en incluir derechos inspirados por la GDPR.
Ahora le toca al Congreso adoptar un nuevo marco que refleje el cambio en la comprensión del derecho a la privacidad en Estados Unidos y en todo el mundo. Al igual que GDPR, este marco debería defender este derecho fundamental a través de normas que otorguen a las personas el control sobre sus datos y exijan una mayor responsabilidad y transparencia en la forma en que las empresas utilizan la información personal que recopilan.
La ley de California es un buen punto de partida. Pero la legislación federal debería ir más allá y garantizar que las empresas actúen como administradores responsables de la información personales de los consumidores. Una forma de lograrlo es exigir evaluaciones que sopesen los beneficios del procesamiento de datos, frente a los posibles riesgos para la privacidad de las personas.
Esto es importante porque el modelo de privacidad que prevalece en los Estados Unidos obliga a los consumidores a tomar una decisión para cada sitio web y servicio online que visitan. Esto coloca una carga irrazonable -e inviable- sobre los individuos. Una fuerte privacidad federal no sólo debe permitir a los consumidores controlar sus datos, sino que también debe imponer responsabilidad a las empresas que recopilan y utilizan información personal confidencial.
La ley federal también debe incluir fuertes disposiciones de aplicación de la ley. Como vi de primera mano cuando trabajé en la Comisión Federal de Comercio, las leyes que existen en la actualidad simplemente no son lo suficientemente fuertes como para permitir que la FTC proteja la privacidad de manera efectiva en la compleja economía digital de hoy en día.
Por último, si bien la legislación federal sobre privacidad debe reflejar los precedentes legales de Estados Unidos -y los valores y normas culturales de la sociedad americana- también debe trabajar con GDPR. Para las empresas estadounidenses, la interoperabilidad entre la legislación de EE.UU. y GDPR reducirá el coste y la complejidad del cumplimiento, ya que garantizará que las compañías no tengan que crear sistemas separados para cumplir requisitos diferentes, e incluso contradictorios, de protección de la privacidad en los países en los que realizan actividades comerciales.
En el año transcurrido desde su entrada en vigor, el GDPR ha sido un importante catalizador para el progreso en la protección de la privacidad. Países de todo el mundo han implementado nuevas leyes que reflejan la nueva conciencia que las personas tienen de la privacidad en nuestra era digital. Algunas empresas están haciendo un mejor trabajo en la gestión de datos personales sensibles y han desarrollado nuevas herramientas que facilitan a las personas la gestión y el control de su información personal.
Ahora es el momento de que el Congreso se inspire en el resto del mundo y promulgue una legislación federal que extienda la protección de la privacidad en GDPR a los ciudadanos de los Estados Unidos.