El principal acuerdo de protección de datos en los EE. UU. Y la UE está muerto. Cómo se está adaptando uno de los corredores de datos más grandes del mundo

Acxiom es una de esas compañías estadounidenses que probablemente sepan mucho sobre usted, incluso si nunca ha oído hablar de él.

La empresa es una empresa de marketing de bases de datos, también conocida como intermediario de datos: crea perfiles de personas «anónimas» y las vende a los anunciantes, para que puedan orientar mejor sus anuncios.

Como tal, Acxiom es de gran interés para los reguladores de privacidad de Europa: los activistas de privacidad en el Reino Unido presentaron una queja a fines de 2018, alegando que estaban violando el estricto Reglamento General de Protección de Datos (GDPR) del bloque, explotar los datos personales de las personas sin su consentimiento.

La compañía también es una de las muchas que siente el impacto del reciente fallo «Schrems II» del tribunal de primera instancia de la UE, el Tribunal de Justicia. Citando protecciones de privacidad insuficientes en los EE. UU., Esta decisión puso fin instantáneamente al acuerdo de intercambio de datos del Escudo de privacidad entre los EE. UU. Y la UE, además de cuestionar la viabilidad de otro mecanismo legal ampliamente utilizado llamado cláusulas contractuales estándar (SCC) por empresas de Facebook a Google como base para transferir datos europeos a servidores de EE. UU.

Fortuna Hablamos esta semana con Jordan Abbott de Acxiom para discutir la opinión de la compañía sobre esa decisión y las regulaciones de privacidad de la UE en general. Abbott tiene una posición interesante: director de ética de datos.

Aquí hay una transcripción de esa conversación, ligeramente editada para mayor claridad.

Fortuna: ¿Cuáles son las implicaciones para las empresas de la decisión de Schrems II?

Abbott: Es el día de la marmota de nuevo. Pasamos por esto con [Privacy Shield predecessor] Porto Seguro en 2015. Cuando se anunció el Escudo de privacidad en 2016, mis colegas y yo estábamos escépticos sobre sus perspectivas a largo plazo. Creíamos en ese momento que tenía el mismo tipo de enfermedades que asolaban Safe Harbor. Y, de hecho, hice una predicción de que, en algún momento, Privacy Shield sería desafiado por muchas de las mismas razones por las que Safe Harbor fue desafiado.

El impacto inmediato en las empresas como resultado de [the ruling] es que las empresas que confiaron en Privacy Shield para las transferencias de datos de la UE a los EE. UU. ahora deben confiar en un mecanismo de transferencia alternativo, como los términos contractuales estándar. La mayoría de las compañías no tienen reglas corporativas vinculantes [or BCRs; a far more expensive, time-consuming legal mechanism for data transfers within multinationals] que han sido aprobados por las autoridades de protección de datos.

Afortunadamente para Acxiom, muchos de nuestros acuerdos, si no la mayoría, adoptaron un enfoque de cinturón y tirantes para las transferencias de datos, diciendo que en caso de invalidación del Escudo de privacidad, las transferencias dependerían de cláusulas contractuales estándar.

Aún así, las compañías como Acxiom necesitan hacer una evaluación para determinar si EE. UU. [legal protections for] las transferencias de datos son esencialmente equivalentes [to EU protections] para proteger a los ciudadanos europeos y, si hay un problema, qué tipo de medidas complementarias se pueden tomar para crear un ajuste esencialmente equivalente, cosas como la criptografía. Para nosotros, además de revisar nuestros acuerdos con nuestros clientes y socios, también estamos duplicando la necesidad de transferencias de datos y minimización de datos.

Así que ahora cuenta con términos contractuales estándar como base legal para su UE a los EE. UU. transferencias?

Para las transferencias de datos del Reino Unido a los EE. UU., La Oficina del Comisionado de Información del Reino Unido y el Departamento de Comercio de los EE. UU. Dijeron: «Siga haciendo lo que está haciendo por ahora», mientras estudia la decisión más a fondo.

Sin embargo, para transferencias de datos del Espacio Económico Europeo, recibimos orientación adicional del Consejo Europeo de Protección de Datos [the umbrella body for the EU’s privacy regulators] la semana pasada e indicó que los SCC son válidos, siempre y cuando se realice una evaluación caso por caso con respecto a la importación de datos. Estamos construyendo nuestras evaluaciones para hacer esto ahora.

Hay dos escuelas de pensamiento acerca de la decisión de Schrems II con respecto a los SCC: uno dice que ningún SCC para transferir datos a los EE. UU. Ahora permanecerá debido a las prácticas de vigilancia de los EE. UU. el otro dice que solo afectará a compañías, como Google y Facebook, que se incluyen en la sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA). ¿Qué opina de esto? ¿Acxiom puede decir con precisión a una autoridad de protección de datos de la UE o al Consejo Europeo de Protección de Datos que la inteligencia de los Estados Unidos no está espiando sus datos?

La visión actual de Acxiom es que es un poco de ambos, que las empresas no podrán salir de este problema. Tendrá que ser resuelto por los gobiernos de los países afectados, en este caso los EE. UU. Y la UE, y en cierta medida, después de la transición del Brexit, el Reino Unido.

Pero las transferencias a otros países también pueden verse afectadas. Para aquellos, deberán abordar [the issue] a nivel político y gubernamental.

Creo que para las compañías que usan proveedores en la nube, sería difícil decir que no están potencialmente sujetas a un programa FISA de la Sección 702. Pero creo que las empresas como Acxiom, que se ocupan principalmente de información demográfica y de estilo de vida, se utilizan con fines de marketing … Espero que sea un área de menor riesgo.

Como Acxiom no es un proveedor de servicios de Internet o una compañía de telecomunicaciones, no estamos a la vanguardia del problema de vigilancia de la Sección 702. Hasta donde sé, el gobierno de los EE. UU. No nos ha contactado sobre los datos de ciudadanos de la UE, al menos no desde Privacy Shield. Los tipos de datos que recopilamos son una categoría separada que, creo, puede ser de menor interés.

Otra nota: mientras recopilamos información demográfica y de estilo de vida, utilizamos las mejores prácticas para proteger la seguridad y la confidencialidad de los datos. Entre otras cosas, estamos realizando una evaluación para confirmar que nuestras transferencias de datos están encriptadas, no solo categorías de datos sensibles o especiales. Del mismo modo, estamos revisando nuestros flujos de datos para confirmar la minimización de datos y limitar lo que compartimos a lo que es necesario para nuestros clientes, mientras mantenemos una transparencia, acceso y control adecuados para que las personas revisen y corrijan sus datos.

Algunos han sugerido que una forma de evitar la decisión de Schrems II es mantener los datos europeos en la UE, en lugar de enviarlos a los Estados Unidos. ¿Es factible este enfoque de localización de datos o un arenque rojo?

Todas las opciones se están considerando en este momento, incluida la ubicación de datos o la creación de centros de datos en la UE. Sin embargo, creemos fundamentalmente que el libre flujo de información entre la UE y los EE. UU. Es fundamental para nuestras economías y, de hecho, para la economía mundial.

En la medida en que un miembro de Acxiom de EE. UU. Tenga acceso a un centro de datos de la UE para ver datos, la ubicación de los datos puede verse afectada. Creemos que un mejor enfoque es una solución gubernamental que proteja adecuadamente a los ciudadanos europeos, permitiendo transferencias de datos a ubicaciones que faciliten el procesamiento y la gestión de datos.

¿Prevé un esfuerzo de cabildeo de Big Tech en ese frente en los Estados Unidos?

Creo que habrá un gran impulso de la industria, incluidas las compañías de Big Tech, para abogar por una ley nacional de privacidad en los EE. UU. De hecho, esto ha estado sucediendo durante el año pasado.

Ciertamente, con la aprobación de la Ley de Privacidad del Consumidor de California, subraya la necesidad de un enfoque uniforme y predecible en los Estados Unidos, que también es interoperable con otros países y otras geografías y regiones como la UE.

También creo que la industria apoya la concesión de ciudadanos europeos con derechos esencialmente equivalentes a los otorgados a ciudadanos estadounidenses. El problema que debe superarse es constitucional y legal.

Se trata de un principio llamado «estar de pie»: la capacidad de una persona para presentar un caso en la corte. Estados Unidos necesita encontrar una manera de resolver este problema y permitir que los ciudadanos no estadounidenses hagan reclamos para reparar los daños.

Dado que el Tribunal eliminó Privacy Shield y Safe Harbor por razones similares, ¿hay algún punto en el que los EE. UU. Y la UE intenten proponer una tercera versión, mientras que la ley de privacidad de EE. UU. Sigue siendo esencialmente inadecuada?

Vale la pena estudiar de cerca la decisión del Tribunal y verificar si un Privacy Shield 2.0 o Safe Harbor 3.0 es viable. Ciertamente, el tribunal dictaminó que el Defensor del Pueblo [an office established under Privacy Shield to hear Europeans’ complaints about their data’s treatment in the U.S.] no era lo suficientemente independiente, por lo que quizás podría considerarse un tribunal creado específicamente para ciudadanos europeos.

Y esto puede ser algo que valga la pena, porque, volviendo al tema central, Acxiom y compañías como nosotros quieren eliminar el comportamiento irresponsable. Queremos llevar a cabo un comportamiento ético y responsable. Queremos manipular los datos de manera justa y transparente. Creemos que cualquier cosa que los gobiernos puedan hacer para facilitar el buen comportamiento, mientras se elimina el mal comportamiento, debe llevarse a cabo.

Pero, ¿es posible un tercer acuerdo o no?

Creo que vale la pena mirarlo al menos, estudiar la decisión de Schrems II, ver si hay una oportunidad para crear un reemplazo sostenible para el Escudo de privacidad, reconociendo que los tribunales europeos pueden ser escépticos sobre las posibilidades de éxito.

Creo que la confianza juega un papel vital en la construcción de relaciones y es esencial para hacer negocios en una economía basada en datos. Cosas como SCC, BCR, medidas complementarias, todo contribuye a crear confianza y responsabilidad, lo cual es claramente importante para los ciudadanos europeos y las autoridades europeas de protección de datos.

Acxiom y empresas como nosotros queremos hacer todo lo posible para aumentar la confianza y la responsabilidad.

¿Cómo son las investigaciones de la UE sobre los corredores de datos y el GDPR?

Antes de que Privacy International registrara su queja, la Oficina del Comisionado de Información del Reino Unido anunció que realizaría una evaluación de la oficina de Acxiom UK en enero de 2019. Cooperamos totalmente con esa evaluación. Creemos que la queja sobre la privacidad internacional no tiene fundamento y, desde entonces, hemos hablado con el ICO.

No prevemos ningún tipo de acción coercitiva y hemos implementado algunas de las recomendaciones. [the ICO] hasta ahora y estamos trabajando con el ICO en otros problemas. Esperamos que el asunto se resuelva a su debido tiempo.

Más lectura obligada cobertura internacional en Fortuna:

  • El cambio de Kodak a los productos farmacéuticos se produce años después de que su rival Fujifilm hiciera el mismo giro.
  • Las vacaciones sagradas en Europa están en riesgo, ya que los temores de la segunda ola dominan los lugares turísticos
  • HSBC trató de defenderse en China. Los censores de Internet eliminaron la publicación
  • El próximo cable submarino Grace Hopper de Google cruzará el Océano Atlántico
  • La industria automotriz europea se encuentra en medio de una sorprendente recuperación. Los analistas difieren en cuanto puede durar

.

Source link

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *