La opinión de Konstantinos Komaitis, Director de Desarrollo de Políticas de Internet Society
El Reglamento General de Protección de Datos de la UE (o GDPR) entra en vigencia en medio de una gran expectativa y acumulación de ideas. En los últimos años, las empresas y los responsables políticos de todo el mundo se han estado preparando para que esta legislación entre en vigor. Este nuevo reglamento es importante por 3 aspectos:
1) Introduce requisitos de privacidad más altos.
2) Establece fuertes multas por incumplimiento.
3) Se aplica a todas las organizaciones que procesan los datos personales de los sujetos dentro de la Unión Europea, independientemente de su ubicación.
Este último aspecto es muy relevante. El GDPR es un esfuerzo ambicioso que busca llenar un vacío en el campo de la privacidad de Internet. La implementación por parte de organizaciones de todo el mundo no ha sido fácil ya que el estatuto es complejo y, en muchos sentidos, difícil de aplicar. Esto ha sido particularmente así para las Pequeñas y Medianas Empresas (PyME) y las nuevas empresas, ya que los costos de garantizar el cumplimiento son considerables.
La intención de Europa de crear un marco de privacidad mucho más fuerte y más sólido ha sido bastante clara desde el principio. En los últimos años, Europa ha insinuado que su comprensión del derecho a la privacidad no sólo es diferente de muchas de sus contrapartes, sino que también es una de sus prioridades clave. La Directiva de Privacidad de 2002, la decisión emblemática del ECJ de 2014 sobre el Derecho a Olvidarse, la propuesta de Reglamento de Privacidad en 2017 y ahora el GDPR son todos ejemplos claros de una región determinada a proporcionar fuertes protecciones de privacidad.
Todo esto ha permitido que Europa logre dos cosas: en primer lugar, proporcionar algo muy necesario al debate mundial sobre la privacidad en Internet, que durante mucho tiempo ha sido un debate filosófico con pocos resultados tangibles, y segundo, a través del GDPR, Europa busca posicionarse como un regulador global referente para la privacidad.
Durante los muchos años de Internet comercial, los resultados de privacidad han quedado en manos de las empresas que recopilan y utilizan datos personales, con el resultado de que la recopilación y el uso de datos ha aumentado exponencialmente, a menudo a expensas de la privacidad de los usuarios. Las revelaciones recientes de las principales compañías de Internet sugieren que la sociedad aún no ha logrado alcanzar el equilibrio necesario entre la protección de datos y la monetización de datos.
El GDPR busca cambiar eso al modificar la dinámica del uso de datos personales hacia los usuarios. Busca darles el control final sobre el procesamiento de sus datos. Por ejemplo, el GDPR obliga a las empresas a evitar la práctica actual de disposiciones largas, legales y poco claras ocultas en la letra pequeña de sus Términos de Referencia. Esto sin duda cambiará la dinámica de cómo se presenta y se ofrece la privacidad a los usuarios.
Es en el segundo punto, sin embargo, donde las cosas comienzan a complicarse.
Al aplicar el GDPR a cualquier organización de todo el mundo que recopile datos personales de cualquier sujeto de datos en la UE, Europa se está estableciendo como la voz líder en privacidad de Internet a nivel mundial. La pregunta es, ¿Europa ocupará el centro de atención por mucho tiempo? ¿Otros países y regiones intensificarán sus esfuerzos para abordar la privacidad en el contexto de una Internet global?
También hay un elemento de extraterritorialidad en el GDPR que podría provocar un “efecto derrame” sobre otros tres aspectos de la Gobernanza de Internet que ocasionarán fragmentación:
- Establecer un precedente donde los países puedan comenzar a imponer legislación nacional o regional que tenga un impacto global;
- Crear choques involuntarios entre diferentes leyes, que pueden dar como resultado imprevisibilidad y falta de claridad, lo que podría impedir posteriormente el despliegue de la tecnología global
- Producir “competencia regulatoria”, la noción de actores estatales que buscan dominar el entorno regulatorio internacional de Internet.
Todavía no se ha visto cómo se llevará a cabo, pero es probable que esto tenga repercusiones para el futuro de la gobernanza de Internet. En Internet Society, creemos en una Internet global, abierta, interoperable y segura. También creemos en la Gobernanza de Internet inclusiva que se esfuerza por satisfacer los intereses de todas las partes interesadas a nivel mundial.
Como el GDPR entra en vigor, por lo tanto, debemos trabajar en colaboración con todas las partes interesadas hacia un marco de privacidad global más coherente que incorpore enfoques globales compatibles sobre privacidad y protección de datos personales. Uno que, al igual que el GDPR, pone a los usuarios en el centro del control de sus datos, respaldados por un consenso global para garantizar un ecosistema de privacidad más predecible, consistente y ejecutable.
*Konstantinos Komaitis: Director de Desarrollo de Políticas de Internet Society
