Todos los días estoy inmerso en los desafíos que enfrentan las organizaciones y las personas que navegan en el complejo mundo de la protección de datos. Recientemente, esto se ha visto agravado por los desarrollos en torno al Proyecto de Ley de Protección de Datos e Información Digital, luego de que el gobierno publicara un cronograma definitivo para el proyecto de ley. 

Complicaciones y consideraciones

Al revisar el cronograma final del proyecto de ley de reforma, debo admitir que mi impresión inicial fue de decepción. Los cambios propuestos por el gobierno del Reino Unido parecen complicar las cosas innecesariamente, lo que hace que uno se pregunte si podría haber un toque de complejo de superioridad en juego. Echemos un vistazo más de cerca a algunas de las enmiendas clave y sus posibles implicaciones. 

1. Delegado de Protección de Datos (DPO) a “Persona Responsable Superior”: El proyecto de ley sugiere cambiar el título de DPO a "Individuo responsable senior". Esta alteración puede parecer insignificante, pero plantea interrogantes sobre las motivaciones subyacentes. Cambiar el nombre del rol podría diluir inadvertidamente la importancia y la experiencia asociadas con el puesto, lo que podría socavar la eficacia de las prácticas de protección de datos dentro de las organizaciones.
2. Evaluación de impacto de protección de datos (DPIA) a "Evaluación de procesamiento de alto riesgo": De manera similar, el cambio propuesto de DPIA a “Evaluación de procesamiento de alto riesgo” introduce una complejidad innecesaria. El término DPIA es ampliamente reconocido y entendido dentro de la industria y alterarlo podría crear confusión y obstáculos adicionales para el cumplimiento.
3. Decisión de Adecuación a “Prueba de Protección de Datos”: El concepto de una decisión de adecuación es vital cuando se trata de transferencias internacionales de datos. Sin embargo, el proyecto de ley sugiere reemplazarlo con el término "prueba de protección de datos". Si bien es encomiable enfatizar la necesidad de leyes de protección de datos sólidas, la aparente voluntad del proyecto de ley de otorgar adecuación a cualquier país siempre que tenga un conjunto de leyes de protección de datos "materialmente más bajo" genera inquietudes. Debemos asegurarnos de que las transferencias de datos no comprometan los derechos y libertades de las personas. Además, la mayor preocupación, en mi opinión, es la posible amenaza a la decisión de adecuación del Reino Unido con la UE.
4. El “diluido” de las RoPA: Uno de los cambios más desconcertantes es la eliminación de los Registros de actividades de procesamiento (ROPA), excepto en los casos en que el procesamiento de datos personales represente un alto riesgo para los derechos y libertades de las personas. Como discutimos extensamente en un episodio de podcast anterior (118), los ROPA son la columna vertebral de las prácticas de protección de datos de una organización. Desempeñan un papel crucial en la configuración e influencia en varios aspectos de las actividades de procesamiento de datos de una organización. Eliminar el requisito de ROPA parece contradictorio y podría tener consecuencias no deseadas.
5. Base legal adicional: Existe una nueva base legal potencial que ha sido sugerida por el secretario de estado. Se denomina 'Interés Legítimo Reconocido' Son los siguientes:
   • procesamiento que es necesario para fines de marketing directo,
   • transmisión intragrupo de datos personales (ya sea en relación con clientes, empleados u otras personas) cuando sea necesario para fines administrativos internos, y
   • procesamiento que es necesario para garantizar la seguridad de la red y los sistemas de información.

Ahora, a primera vista, esto puede no parecer una mala idea, pero tengan paciencia conmigo mientras les explico mis preocupaciones al respecto.

La Comisión de la UE ha expresado anteriormente su preocupación por la interpretación estricta de los intereses legítimos de la autoridad holandesa de protección de datos, considerando que no está en línea con el RGPD, las directrices del Grupo de Trabajo del Artículo 29/EDPB y la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE). ). Las preocupaciones se centran en cuestiones de orientación por parte de la Autoriteit Persoonsgegevens (Autoridad de Supervisión Holandesa) en 2019, afirmando que los fines puramente comerciales, como la maximización de las ganancias, no se considerarían un interés legítimo.

Esencialmente, lo que estoy tratando de decir es que la Comisión de la UE ha expresado su preocupación de que los fines puramente comerciales, como maximizar las ganancias, no se consideren un 'interés legítimo' y, sin embargo, en el nuevo proyecto de ley DPDI, hay una sugerencia para agregar "interés legítimo reconocido". intereses” como una base legal adicional, siendo uno de ellos el procesamiento necesario para el marketing directo. ¿No podría argumentar que se trata de fines puramente comerciales?

En mi opinión, esto se suma a las preocupaciones que ya tengo sobre el hecho de que el Reino Unido ponga en riesgo su decisión de adecuación con la UE si/cuando se apruebe el nuevo proyecto de ley. 

Perspectivas de expertos

Durante el examen del Proyecto de Ley de Protección de Datos e Información Digital en la etapa de comité, John Edwards, comisionado de la Oficina del Comisionado de Información del Reino Unido, compartió sus ideas. Estos son los puntos clave de su testimonio:

1. Claridad de las definiciones: Edwards destacó la necesidad de una mayor claridad en torno a términos como "actividad de alto riesgo" dentro de las definiciones del proyecto de ley. Las ambigüedades en estas definiciones pueden impedir la implementación y el cumplimiento efectivos.
2. No hay amenaza para la adecuación: El comisionado nos aseguró que “no hay nada en el proyecto de ley que amenace la adecuación”. Si bien esto brinda cierto alivio, debemos permanecer atentos para salvaguardar los datos de las personas cuando atraviesan fronteras internacionales.
3. Importancia de la claridad en el interés legítimo: Edwards enfatizó la importancia de la claridad en el término "interés legítimo". Proporcionar a las empresas pautas y circunstancias claras en las que se puede invocar el interés legítimo reduce la incertidumbre y promueve el cumplimiento.
4. El nuevo rol de la ICO: Edwards expresó su entusiasmo por el nuevo rol de la ICO, posicionándola como partidaria del "ciudadano empoderado". Esto sugiere un compromiso para proteger los derechos de las personas y promover la transparencia en las prácticas de procesamiento de datos.
5. Derechos de Ciudadanía y Acceso: Es importante destacar que Edwards afirmó que el proyecto de ley no presenta ningún desafío a la capacidad de los ciudadanos para acceder a sus derechos, incluida la posibilidad de cobrarlos. Esta garantía subraya el compromiso continuo de garantizar que las personas puedan ejercer sus derechos de protección de datos de manera efectiva.

En conclusión, el Proyecto de Ley de Protección de Datos e Información Digital ha generado tanto elogios como preocupaciones dentro de la comunidad de Protección de Datos. Como defensor de las prácticas de protección de datos, debo admitir que algunos de los cambios propuestos parecen complicar las cosas en lugar de simplificarlas. El cambio de nombre de los roles clave, la alteración de la terminología y la eliminación del requisito de ROPA plantean preocupaciones válidas sobre la eficacia y la transparencia de las medidas de protección de datos.

Recuerde, la protección de datos es un esfuerzo de colaboración y su voz importa. Sigamos navegando juntos por el panorama en constante cambio, empoderando a las personas y salvaguardando sus derechos en la era digital.

By Joe Kirk, consultor de la mesa de soporte de protección de datos – Personas de protección de datos

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
• Fuente: https://www.itsecurityguru.org/2023/08/07/data-protection-and-digital-information-bill-what-are-the-changes/?utm_source=rss&utm_medium=rss&utm_campaign=data-protection-and-digital-information-bill-what-are-the-changes