¿Qué tiene de malo el RGPD? Críticas constructivas de profesionales de la privacidad

El RGPD se celebra con razón por mejorar los derechos de protección de datos en muchas áreas. Pero la ley también ha sido criticada, tanto por cabilderos de “grandes tecnologías” como por profesionales dedicados a la privacidad. ¿El RGPD impone una carga desproporcionada a las pequeñas empresas? ¿La ventanilla única impide cualquier aplicación seria? ¿Y podrían las transferencias de datos del GPDR conducir a una “splinternet”? Esta sesión analizará algunos de los problemas que experimentan los profesionales de la protección de datos al implementar los requisitos del RGPD.

Transcripción  – 

Robert Bateman:

Hola, bienvenido de nuevo a PrivSec Focus: GDPR cuatro años después. Soy Robert Bateman, jefe de contenido de GRC World Forums y anfitrión del evento de hoy. Ahora, ha sido un día fantástico hasta ahora, pero aún no ha terminado, tenemos una sesión final que debería ser buena. ¿Qué tiene de malo el RGPD? Algunas críticas constructivas de profesionales de la privacidad. Antes de continuar con eso, me gustaría dar las gracias a nuestro patrocinador de este evento, OneTrust, que nos está ayudando a hacer que esto suceda hoy, y recordarle que haga sus preguntas a los panelistas. Es genial tener interacción con la audiencia, has hecho algunas preguntas realmente buenas hasta ahora. Le paso ahora la palabra a nuestro moderador para esta sesión, Alain De Might, quien es CISO y DPO. Alain hacia ti.

Alain De Maght:

Buenas tardes a todos. Muchas gracias Roberto. Me complace ser parte de esta sesión de hoy y moderar esta sesión. Antes de hablar con los dos participantes aquí, solo para establecer el contexto en realidad. Las leyes de protección de datos existen desde hace mucho tiempo, y especialmente en el sector médico, ha sido realmente parte de la cultura incluir algo sobre privacidad y protección de datos. No hay ambigüedad sobre el hecho de que la digitalización de la actividad y el esfuerzo de transformación digital en muchos sectores de la industria han acelerado significativamente la valoración de los datos, pero también han aumentado el riesgo sobre el uso de los datos. GDPR en realidad ha sido significativo y la configuración de GDPR ha sido una aventura muy desafiante para la persona que estuvo involucrada desde el principio.

Comenzó el cuarto año, digamos a fines de 2011 o algo así. Durante cuatro años de negociación antes de que entrara en vigor en 2016, hubo cuatro años de [inaudible 00:03:14] a nivel europeo. Simplemente porque los datos están en la tierra de la economía y básicamente están tocando todo el sector de la industria, y están tocando casi todas las actividades de las diferentes actividades de la empresa. Hablamos del RGPD sobre protección de datos. Protección es la palabra utilizada para GDPR pero, en términos más generales, qué es la ley de privacidad. Lo que ves está más allá de GDPR, comienzas a tener muchas leyes en todo el mundo. Entonces, en diferentes partes del mundo, y podrían ser sectoriales o podrían ser globales.

Además de GDPR, hay muchas otras leyes que interactúan y la privacidad es un claro tema de atención para todas las diferentes organizaciones. Hoy estamos en el año más cuatro de GDPR, y este es el momento de evaluar realmente o este es un buen momento para evaluar realmente sobre GDPR. ¿Cuáles son básicamente las posibles limitaciones que se han identificado? Esta es la razón por la que hoy tenemos el tema de lo que está mal con GDPR. Para hablar sobre este tema, tenemos la suerte de tener a bordo básicamente dos personas. Natalia, ¿puedes oírnos?

Natalia Stenbrink:

Sí,

Alain De Maght:

Natalia, bienvenido a bordo de este panel, y por favor, ¿podría presentarse brevemente?

Natalia Stenbrink:

Por supuesto. Mi nombre es Natalia Stenbrink y soy directora del programa global de privacidad de datos en la sede de Sandvik AB… Sandvik es una empresa internacional de ingeniería y minería con sede en Estocolmo y contamos con más de 40 000 empleados en todo el mundo. Mis responsabilidades principales son brindar soporte estratégico y soporte operativo específico cuando se trata de privacidad de datos, especialmente dentro de EA, donde ocurre la mayor parte de la acción. Pero también, como sabemos, durante los últimos cuatro años en todo el mundo, donde se han promulgado nuevas leyes de privacidad de datos y donde hacemos negocios. Mi alcance sigue ampliándose a medida que enfrentamos más interrupciones dentro de los países de GDPR. Estoy contento de estar aquí.

Alain De Maght:

Excelente, gracias por ser parte de este panel y esperamos escuchar su opinión sobre este asunto. Pero no debemos olvidar también que contamos con otro, un segundo panelista, Olumide. Entonces, únase a nosotros y cuéntenos quién es usted y cuál es básicamente su actividad principal.

Olumide Babalola:

Muchas gracias por la invitación. Soy un abogado privado con sede en Nigeria. También soy investigador y autor. En 2020 publiqué un libro, una recopilación de unas 144 decisiones de los tribunales europeos en materia de protección de datos. Es un libro de casos sobre protección de datos en varias áreas que han sido objeto de litigio en materia de protección de datos. Lo más importante es la directiva de privacidad, no el RGPD porque recientemente comenzamos a tomar decisiones sobre el RGPD, que todavía tiene cuatro años y todavía estamos luchando en términos de interpretación, en términos de cumplimiento, en términos del impacto que se espera que haya tenido. . Estoy contento de estar aquí, gracias.

Alain De Maght:

Gracias por esta introducción. Volviendo al tema del RGPD, entonces el RGPD entró en vigor en 2016 y es aplicable a partir de 2018. Si miramos prácticamente… Sí, esto es cierto, es aplicable desde 2018. Pero normalmente toda la organización tenía un poco de tiempo entre 2016 y 2018 para cumplir porque el primer día de cumplimiento, cualquiera que sea el nivel, fue en realidad en 2018. Ahora tenemos al menos cuatro años de experiencia sobre GDPR, por lo que realmente confiamos en GDPR para hacer todo el cumplimiento. esfuerzo en GDPR. Comenzando contigo, Natalia, ¿quizás identificarías un par de áreas en las que se encuentra el RGPD? Tal vez podríamos haber comenzado con un área y luego explorar un poco más con un área diferente como parte de esta conversación. ¿Qué en realidad sería mejor o estaría mal, o cuéntanos un poco tu experiencia?

Natalia Stenbrink:

Eso suena como un buen plan. Quiero plantear mejor mi perspectiva con el hecho de que hablaré desde el punto de vista comercial, desde el punto de vista de las empresas que están tratando de lograr sus objetivos comerciales sin dejar de respetar la privacidad de los datos personales y también tratando de cumplir con la RGPD. Cuando hablo o cuando ofrezco sugerencias para mejorar, comprenda que es con el entendimiento implícito de que sigo creyendo que la información personal de las personas estará razonablemente protegida con requisitos y medidas proporcionales al riesgo que implicaría dicho procesamiento. Eso está implícito en todas mis sugerencias. Que no estamos diluyendo los derechos u obligaciones de una empresa donde es necesario proteger realmente a los interesados en función de los riesgos. Creo que comenzaré con la primera área, que es bastante fácil de hablar y creo que necesita un poco de mejora, algunas aclaraciones aquí. Eso es con DSAR, solicitudes de acceso de sujetos de datos.

Los requisitos han creado costos inmensos para las empresas, que no creo que sean proporcionales a los beneficios recibidos por los interesados, al menos en la forma en que se interpreta, según lo que percibo de los reguladores en este momento. Si trabaja para una empresa que intenta cumplir con el RGPD, comprende que es básicamente la obligación de DSAR lo que ha provocado que las empresas creen una nueva oferta de servicio al cliente y, por supuesto, sin potencial de lucro, solo cumple. Esta oferta de servicio al cliente para todas sus partes interesadas, empleados y otros, incluidos los clientes y todas las partes interesadas en las que la empresa procesa datos como controlador, requiere, por supuesto, un tiempo de respuesta de 30 días. No estoy sugiriendo ningún cambio en el tiempo de respuesta, pero también sabemos que este requisito implica mucho tiempo en lo que respecta a costos y recursos, recursos humanos, equipos y diferentes funciones.

Especialmente si ingresa a una organización descentralizada global y más amplia, crea muchos requisitos de mano de obra para buscar diferentes tipos de datos personales. En sistemas informáticos, en sistemas informáticos descentralizados, no estructurados como el correo electrónico. No solo buscar los datos personales que se solicitan, sino también revisar todos estos datos para garantizar que no estamos divulgando datos personales de terceros que no deberían divulgarse. Esto crea mucho estrés, mucho costo, mucho tiempo. Creo que el propósito de la obligación DSAR es bueno, crea la transparencia que los interesados necesitan para ejercer sus derechos, por lo que es muy necesario. Pero creo que cómo podemos hacer que sea un poco más equilibrado entre las cargas de la empresa y los beneficios para los sujetos de los datos sería si dejáramos claro que hay diferentes maneras de dejarlo claro.

Podría ser a través de la guía de interpretación del regulador a través de decisiones que está perfectamente bien que las empresas brinden resúmenes suficientes de los datos que se tienen, y no las copias reales de los datos que se tienen. No proporciona más transparencia para proporcionar una copia real, pero crea un costo inmenso si tuviera que volver y, por ejemplo, imágenes de cámara de personas que entran y salen, tener que volver y encontrar copias de que. Donde debería ser suficiente decir que sí, si visitó nuestras oficinas, habría aparecido en las imágenes de nuestra cámara con información sobre cuánto tiempo se guarda, pero se elimina después de 24 horas, 48 horas y así sucesivamente. Creo que es bastante fácil donde hay una necesidad de mejora y donde sería muy fácil hacerlo más equilibrado.

Alain De Maght:

Antes vamos a otra zona y a tener tu opinión sobre este Olumide. ¿También enfrenta el mismo desafío o ve las mismas dificultades cuando se trata del procesamiento de la solicitud DSAR?

Olumide Babalola:

Debido a que no estoy hablando desde mi propia perspectiva como propietario de una empresa o representante de una empresa, no tendría esa experiencia. Soy un médico privado y honestamente no puedo hablar de eso en términos de la experiencia que ella ha tenido. La impresión que acabo de tener sobre la disposición del RGPD con respecto a DSAR es que a veces hace que sea difícil incluso para los controladores de datos comprender su obligación. Por ejemplo, dice que cuando el sujeto hace una solicitud, debe cumplir dentro de un tiempo razonable. La razonabilidad a veces es muy subjetiva. Aunque al fin y al cabo el RGPD prevé una serie de días posteriores.

Pero todo se reduce al hecho de que el titular de los datos finalmente tendrá que esperar esa cantidad de días, 30 días en algunos casos, a veces depende de la exigencia de esa solicitud en realidad. Creo que a veces hace que la obligación no sea tan clara con respecto a DSAR. Eso también es similar a la notificación de incumplimiento. También dice, GDPR usa la frase tiempo razonable. El tiempo razonable la mayoría de las veces es algo subjetivo, ni siquiera es objetivo, porque lo que es razonable para el titular de los datos no lo es para el dueño de la empresa, para el controlador. A veces, estas cosas necesitan más aclaraciones desde el punto de vista del RGPD.

Alain De Maght:

Vale, eso significa… Muchas gracias por esta dirección aquí. Pero luego, volviendo a ti, Natalia, ¿qué piensas y considerando lo que identificaste como, digamos en tu redacción, podría ser un esfuerzo desequilibrado considerando el tamaño del riesgo? Entonces, ¿cuál sería, digamos, la orientación allí? Supongamos que tendría que reescribir el RGPD, ¿qué diría tal vez allí o cómo debería mejorarse?

Natalia Stenbrink:

Creo que es una buena pregunta para llevarme al área que necesita más mejoras y donde haría aclaraciones al RGPD. De nuevo, ahí podemos hablar de esto más adelante pero hay diferentes formas de hacer estas aclaraciones. Podría modificar el RGPD, lo que supondría mucho trabajo a nivel de la UE y con todos los estados miembros. Pero hay otras formas que podrían ser más eficientes, como la orientación de la EDPB y la orientación adicional de las autoridades de los estados miembros que estarían en línea con la orientación de la EDPB, así como las decisiones que seguirían la orientación. El área, para responder a su pregunta, Alain, el área que necesita más mejoras diría que es el enfoque basado en el riesgo sobre el cual se fundó el RGPD. Creo que este es el desarrollo más preocupante que va en la dirección equivocada en los últimos cuatro años, es que las autoridades parecen estar mostrando una voluntad casi flagrante de descartar el enfoque basado en el riesgo en el que se fundó el RGPD.

Alain De Maght:

Déjame preguntarte, déjame desafiarte un poco sobre lo que dijiste en realidad en esto. Básicamente, existe este esfuerzo desproporcionado, básicamente porque es mucho esfuerzo pasar por todos los diferentes sistemas. Luego, el otro aspecto se trata básicamente del riesgo, la evaluación del riesgo y lo que se debe hacer. Si estamos mirando del lado del sistema, supongamos que tal vez tendría un gobierno de datos diferente o tal vez el sistema tendría mejores funcionalidades de trazabilidad para adaptarse al cumplimiento, probablemente sería más fácil. La pregunta aquí es en realidad porque la regulación en este momento lo hace inviable considerando los estados de la tecnología en términos de toda la trazabilidad que es necesaria para el [inaudible 00:18:09], o simplemente es totalmente irrazonable cualquiera que sea el ¿tecnología?

Natalia Stenbrink:

No, no creo que la tecnología sea el problema en el RGPD, creo que es cómo lo interpretan los reguladores. Si observa el artículo 32, es muy claro que existe la obligación de las empresas, procesadores y controladores. Que las empresas deben implantar las medidas adecuadas para garantizar su “garantizar un nivel de seguridad adecuado al riesgo”. Por supuesto, esto significa implementar medidas técnicas y organizativas apropiadas que sean proporcionales a los riesgos para el interesado. Ese es un ejemplo del enfoque basado en el riesgo, que se discutió mucho durante las negociaciones que llevaron a la versión final del RGPD. Ahí es donde se ve muy claro indicando expresamente que los responsables y encargados del tratamiento deberían tener eso en cuenta en sus medidas de seguridad. Creo que eso se encargaría de los sistemas y la tecnología. Está más en cómo está siendo… Puedo dar más ejemplos en un momento o cuando creas que es apropiado. Es más que los reguladores no están considerando el enfoque basado en el riesgo cuando juzgan si las empresas cumplen con el RGPD.

Alain De Maght:

Creo que tenemos solo 40 minutos, entonces en realidad podríamos tener una sesión completa solo sobre el DSAR. Pero aún así, me gustaría elegir al menos una pregunta en la audiencia. Dice cuáles son las formas más efectivas de mantener registros de las actividades de procesamiento manteniendo para facilitar el cumplimiento oportuno con DSAR. Aquí básicamente están la pregunta sobre cuál es la forma más efectiva de mantener un registro de la actividad de procesamiento, para mantener y facilitar el cumplimiento oportuno de DSAR. Según su experiencia, ¿ya organizó algunos, hay algunos procedimientos o procesos integrados que existen para facilitar estos procesos, o tal vez ya tiene algún inventario de datos para que ya pueda acceder a esto? ¿Cuál es su guía o la implementó?

Natalia Stenbrink:

Sí, puedo responder a la pregunta, pero retrocederé y diré que el problema del enfoque basado en el riesgo que las autoridades descuidan en este momento no se limita solo a los DSAR. Estoy viendo esto como un aspecto completo de mejora, área de mejora para todo el RGPD. Daré un ejemplo de eso después de responder esta pregunta, y es posible que también queramos saber de Olumide. Pero en lo que respecta a los DSAR, sí, creo que debe haber realizado su trabajo preparatorio y el mapeo, por supuesto, de cualquier manera, los requisitos de mapeo del Artículo 30 ayudarán con esto para identificar qué tipos de datos tiene, qué tipos de sujetos de datos y dónde está situado. Los sistemas como OneTrust, por ejemplo, podrían usarse para eso.

Creo que vas a necesitar automatizar algo de esto. Pero la mayoría de la búsqueda, y nosotros mismos también tenemos un proveedor que ayuda con la gestión de DSAR. La admisión, cómo se recibe, la cola y la gestión de todo el proceso desde la admisión hasta la respuesta con los datos solicitados. La parte real de la búsqueda dentro de nuestros propios sistemas sigue siendo muy manual y consume mucho tiempo. Entiendo que hay proveedores que intentan automatizar esto, pero sigue siendo muy difícil cuando tratas con una empresa descentralizada con un sistema descentralizado.

Alain De Maght:

Excelente. Olumide tal vez en un minuto antes de pasar al siguiente tema contigo Natalia, otra área. Olumide cual es tu consejo-

Olumide Babalola:

Sí, creo que siempre apoyaré a las organizaciones que tengan su registro RoPA en cualquier forma que deseen, en cualquier forma que deseen tener su registro de actividades de procesamiento, ya sea como inventario, como libro de datos, como formularios de datos. La parte más importante es conocer los puntos de entrada de datos. Es muy importante porque les ayuda incluso a poder responder este DSAR rápidamente. Si conoce los puntos de los que obtiene datos, ya sea de sus clientes, de sus empleados, de posibles empleados, de los usuarios de su plataforma, puede identificar esos puntos de entrada, por lo que es mucho más fácil para usted responder a las solicitudes. o para poner la solicitud en la perspectiva adecuada cuando lleguen. Siempre apoyaría tener un inventario como el primer punto de cumplimiento con la gestión de datos para cualquier negocio, el inventario es bastante importante.

Alain De Maght:

Gracias por esto. Natalia, lo siento, ¿hay alguna otra área que hayas identificado que deba ser objeto de mejora?

Natalia Stenbrink:

Sí, creo que déjame profundizar en esta área de enfoque basada en el riesgo que siento que se está ignorando. Creo que debería dar un ejemplo. Hay dos aspectos de este problema que considero bajo el tema general del enfoque basado en el riesgo. En primer lugar, que las autoridades en los tribunales también deben aplicar el enfoque basado en el riesgo al evaluar la responsabilidad, al evaluar si una empresa ha cumplido con el RGPD y las sanciones. En segundo lugar, en realidad debería expresarse claramente una reducción de ciertas obligaciones para los datos de bajo riesgo. En realidad, debería haber algunas de las obligaciones que se aplican independientemente de si los datos son de bajo o alto riesgo, si los datos son altamente confidenciales o información de contacto comercial, que encontraría una simple búsqueda en Google, tenemos muchas de las mismas obligaciones. Creo que, en realidad, donde sería realmente beneficioso fomentar la innovación y el crecimiento empresarial y el empleo en el EEE sería reducir expresamente algunas obligaciones para los datos de bajo riesgo. Esto podría ser más claro si doy un ejemplo concreto que sucedió recientemente. Es decir, muchos de ustedes sabrán que hubo una gran decisión de la Autoridad de Protección de Datos de Austria con respecto a Google Analytics.

Alain De Maght:

Mm-hmm.

Natalia Stenbrink:

Esto cae muy de lleno en nuestra reciente sentencia Schrems II, y toda la interrupción y la orientación y los requisitos de seguimiento que se han producido desde entonces. Por supuesto, también podríamos pasar otra hora solo con esa decisión, así que intentaré mantener un nivel muy alto. Pero básicamente hubo una decisión de que los datos no se podían transferir. Si observa el caso, si lee el razonamiento, no se consideraron los riesgos para los interesados. En primer lugar, los datos personales que se transfieren de lo que he visto son datos de muy bajo riesgo, y también tiene el riesgo de que las autoridades incluso se preocupen por esos datos o incluso si se preocuparan por esos datos, que causaría ningún daño porque sería el mismo tipo de datos que podría encontrar en Internet.

Alain De Maght:

En la Internet pública.

Natalia Stenbrink:

Sí en internet. Ahora, estoy muy resumiendo ese caso. Pero el punto es que incluso la DPA de Austria ni siquiera siguió la guía muy conservadora de EDPB, la última guía después de Schrems que permite considerar si existe un riesgo real de que las autoridades de un tercer país realmente se interesen en acceder a esos datos. incluso si teóricamente podrían bajo la ley? No había nada de ese tipo de análisis. Creo que es realmente preocupante porque causa una gran interrupción en los negocios, lo que tiene consecuencias para otros intereses fuera de la protección de datos personales. Como todos sabemos, por mucho que esta sea mi carrera y mi pasión, existen otros intereses como la innovación, fomentar el comercio internacional, mejorar nuestra sociedad, mejorar la tecnología, por el cambio climático, etcétera, etcétera. También se deben considerar todos estos intereses, especialmente cuando se restringe el flujo internacional de datos personales sin riesgo real de daño a los datos [inaudible 00:27:54]. Tal vez eso es lo que estoy pensando.

Alain De Maght:

Estoy escuchando tu punto definitivamente. Olumide, sobre este enfoque basado en el riesgo y la forma en que se evalúa el riesgo considerando tal vez la clasificación de los datos como sugirió Natalia, ¿cuál es su opinión al respecto?

Olumide Babalola:

Sí, creo que estoy de acuerdo con Natalia en cuanto a las exigencias del negocio. Incluso el RGPD ha decidido, o me refiero a datos personales clasificados en términos de accesibilidad. La obligación esperada respecto a determinados datos no es la misma, no es transversal. Por ejemplo, el manejo de datos confidenciales genera diferentes obligaciones y diferentes sanciones o diferentes expectativas en nombre de las empresas, a diferencia de otros tipos de datos personales. Es por eso que las organizaciones deben poder evaluar los riesgos involucrados en el manejo de una parte de los datos, un tipo de datos, una clase de datos de la otra.

Alain De Maght:

Bueno. En la audiencia hay una pregunta que está surgiendo aquí sobre el esfuerzo desproporcionado. La pregunta es si abordaría el esfuerzo desproporcionado, ¿quién determina la aclaración y el tiempo para que se desarrollen prácticas de mercado específicas? Supongo que en algún lugar cuando tenemos la discusión sobre el riesgo y lo que se debe hacer, y también está la discusión sobre cuál es el tamaño del esfuerzo que debe hacer para abordar el riesgo. ¿Existe realmente una definición de lo que es un esfuerzo desproporcionado? ¿Ve alguna variación según los mercados específicos?

Olumide Babalola:

Creo que estos son parte de las deficiencias del RGPD. Le das a alguien una obligación y todavía le das a la persona alguna forma de discreción o alguna forma de libertad para determinar qué es conveniente y qué no. Lo hace muy, muy vago porque el controlador determina el esfuerzo desproporcionado la mayoría de las veces. Es el controlador el que dice oh, el esfuerzo que vamos a poner o la tecnología que vamos a poner para poner a disposición este tipo particular de datos es desproporcionado para el interés del interesado. Excepto que las autoridades de protección de datos, excepto que las autoridades de supervisión comiencen a establecer parámetros claros para este esfuerzo [inaudible 00:30:32], podríamos continuar teniendo este tipo de situación en la que tenemos esta incertidumbre. Di un ejemplo similar en el pasado donde la regulación usa la palabra razonable o irrazonable, y ¿quién determina todas estas cosas? ¿Qué determina todas estas cosas? ¿Cuáles son los parámetros? ¿Cuáles son las ramificaciones? Creo que esta es una de las carencias del reglamento que debe afinarse aún más.

Alain De Maght:

Natalia, ¿entiendo que tú también tienes esta percepción o lo que dice Olumide ahora mismo te está repercutiendo? ¿Estás de acuerdo con eso?

Natalia Stenbrink:

Sí, estoy de acuerdo con eso. Además, con la pregunta creo que la premisa de la pregunta es que eso es difícil de definir, ¿qué es desproporcionado? Pero creo que como en muchos asuntos legales no hay una respuesta blanca o negra y hay que hacer una valoración. Pero aún es difícil, y de acuerdo con Olumide, estas cosas podrían aclararse más con la orientación de las autoridades. Podrían abordar esta cuestión lo que se considera un esfuerzo desproporcionado.

Alain De Maght:

Que tendrían un entendimiento común y un acuerdo común para que fuera aplicable y tal vez personalizado por diferentes mercados, tal vez. ¿Crees que todo el mercado tendría la misma fuerza o tal vez la misma restricción, o una forma diferente de definir lo que es proporcionado o no?

Natalia Stenbrink:

Esta discusión en este momento me recuerda la prueba de equilibrio de intereses legítimos. Creo que podría ser útil tomar ese principio en el que estamos equilibrando el interés, el propósito del procesamiento real en cuestión, con los riesgos para el interesado. Lo hacemos en una prueba de equilibrio de intereses legítimos. Si los intereses legítimos documentados son muy altos y los riesgos para el interesado, si estamos hablando de una transferencia internacional de datos, el caso de Schrems, donde lo que se transfiere quizás esté en un servicio en la nube, es necesario información de contacto comercial, dirección de correo electrónico, número de teléfono, nombre, y tal vez solo hay información de tipo comercial asociada con diferentes personas nombradas. Incluso si se accediera a eso de manera inapropiada, debemos abordar esas preocupaciones de seguridad que no deben diluirse en absoluto. Pero incluso si se accediera a eso de manera inapropiada, ¿qué daño causaría eso a un individuo?

Tal vez el motivo de la transferencia de datos sea que está compartiendo información sobre investigaciones médicas contra el cáncer. O cuando miras a Google Analytics, creo que es fácil decir oh, bueno, esa es solo una gran empresa estadounidense que realmente no nos importa. Pero Google Analytics emplea a mucha gente en la UE, y también permite una gran cantidad de buenos conocimientos comerciales para que las empresas comprendan a sus clientes y empleen sus esfuerzos de marketing de una manera inteligente. Nuevamente, no estoy diciendo que diluyamos los requisitos de notificación de transparencia o los requisitos de consentimiento, en absoluto. Pero cuando restringimos la transferencia de dicha información por un beneficio muy bajo para los interesados, pero un costo muy, muy alto para la sociedad y las empresas, lo que afecta a la UE, porque, por supuesto, Google Analytics tiene muchas subsidiarias de la UE, ¿verdad? Filiales en la UE que emplean a mucha gente. Creo que entonces se vuelve irrazonable este tipo de interpretación.

Alain De Maght:

Muchas gracias por esta entrada. En realidad estamos a 10 minutos de la sesión y en realidad ya los dos puntos han sido muy intensos en compartir y decir experiencia. Hay otro punto porque la audiencia parece estar muy preocupada y atraída, veo un punto allí sobre todo lo que es extraterritorialidad. Básicamente significa que GDPR es una regulación europea, pero básicamente se aplica a todo el mundo que hace negocios con empresas europeas. Entonces, según su experiencia, dado que ambos se encuentran en un contexto internacional, ¿cuál es su percepción acerca de lo que el RGPD básicamente está creando como requisito o restricción o lo que sea para las empresas de empresas no europeas que hacen negocios con empresas europeas? ¿Ves entonces en realidad es una especie de tapón del espectáculo? ¿Es una restricción? ¿Cree que la comunicación es lo suficientemente clara sobre lo que se debe hacer, es lo suficientemente legible? ¿Cuál es básicamente su experiencia sobre todo lo que está creando la protección de datos en el contexto internacional?

Olumide Babalola:

Gracias. Creo que lo primero que me viene a la mente es la viabilidad de estas cosas. Conflicto de leyes, aplicación de la ley europea en África por ejemplo, o aplicación de la ley europea a africanos oa empresas con sede en África, no es 100% aplicable. Porque incluso si una empresa en Nigeria, por ejemplo, ofrece servicios a ciudadanos o residentes de la Unión Europea o dentro del área de influencia del RGPD, la primera pregunta que surge es ¿en qué tribunal? Aquí es donde tenemos problemas de conflicto de leyes. ¿En qué tribunal hace cumplir el puente? ¿Es en la corte europea o en la corte africana? Si es en corte europea, ¿tenemos problemas de jurisdicción extraterritorial? Será muy interesante ver cómo se desarrolla esto en una decisión en la que se aplicará el RGPD a una empresa o a un controlador de datos fuera del área de influencia de la Unión Europea o del área de influencia del RGPD.

Se ha discutido académicamente, pero cómo se desarrolla en la práctica es lo que nadie, todavía no. No he visto ninguna decisión en la que se haya aplicado realmente. Incluso parte de los problemas de GDPR ahora es el de la aplicación, las sanciones, las multas. Muchas empresas han sido multadas, cuando se acercan a la corte, las multas se anularán o se suspenderán. Hasta ahora todo bien, ¿cuántas de las multas se han finalizado en este momento? Tratar con controladores dentro de la región es una cosa, tratar con controladores fuera de la región es una tarea hercúlea aún mayor.

Alain De Maght:

Natalia en este punto sobre toda esta extraterritorialidad y toda la conversación que se está dando entre entonces el proveedor y digamos, y el cliente. ¿Cómo ves eso desde tu posición internacional?

Natalia Stenbrink:

Por un lado, las obligaciones extraterritoriales de GDPR han provocado que muchos países mejoren sus requisitos de privacidad de datos para aprobar nuevas leyes. Ese es un efecto dominó positivo, creo. Pero compartir también la preocupación de Olumide sobre, bueno, está la preocupación de la aplicación, pero también la aplicabilidad de todas las protecciones del RGPD en un tercer país fuera del EEE, creo que es una pregunta relevante. Solo tengo que volver al ejemplo dos de Schrems II porque ilustra muchos de estos problemas. En las transferencias de datos, sabemos que, en el tribunal Schrems II, el Tribunal de Justicia de la Unión Europea dejó en claro que el país receptor todavía tiene que proporcionar esencialmente el mismo nivel de protección que el RGPD. Pero sí vemos en lugares como los EE. UU. y otras sociedades democráticas con un nivel muy alto de estado de derecho muy establecido, que hay diferentes formas de ver la protección de datos.

Creo que a veces, y creo que este fue quizás el caso de lo que estabas diciendo sobre África, es que no creo que podamos esperar que los países tengan que tener Creo que esencialmente equivalente se está volviendo demasiado para ser como debe ser casi idéntico, o debe ser… ¿Qué significa esencialmente equivalente? Hay un tema para mayor aclaración. Pero creo que se puede interpretar como el requisito de que otros países tengan el mismo nivel de protección, no esencialmente equivalente, pero el mismo nivel. Eso obviamente no es correcto, ¿cómo podemos imponer nuestras leyes a otros países? Creo que estamos llegando a una mentalidad de fortaleza europea en lo que respecta a la protección de datos personales.

Alain De Maght:

Todavía nos quedan cuatro minutos y me gustaría hacer una conclusión de cierre de al menos un minuto para cada uno de ustedes para dejar al menos un punto que todavía me gustaría mencionar en realidad. En realidad, los datos son un recurso clave, es un poco como el dinero sería un recurso. Básicamente, comienzas a tener mucha regulación de todos modos. Veo que hay muchas preguntas y no podremos escuchar todas las preguntas. Pero algo que veo regularmente en la lista de preguntas es que comenzamos a acumular muchas leyes. Incluso en una región del mundo comienzas a tener múltiples leyes como GDPR, privacidad de los ojos, denuncia de irregularidades y algunas específicas también por sector. Luego amplías que fuera de Europa tienes múltiples leyes. No estamos hablando de protección de datos, sino de protección de datos como parte de la privacidad de datos. Entonces, ¿tiene realmente algún posible elemento de orientación, o dónde, cómo se siente acerca de todas esas leyes que estamos empezando a acumular, y es manejable o cómo ve que Natalia es para el futuro?

Natalia Stenbrink:

No estoy seguro si entiendo la pregunta, tal vez-

Alain De Maght:

La pregunta es que tenemos más y más leyes, no solo GDPR, sino que comienzas a acumular todas las leyes diferentes y, en algún momento, entran en conflicto entre sí. ¿Qué tipo de orientación allí podríamos tener? Porque no estoy seguro de que el regulador vaya a empezar a minimizar el número de leyes. No estoy muy seguro de que ese vaya a ser el caso. Básicamente, considerando este factor, ¿cuál es realmente la mejor manera de hacerlo?

Natalia Stenbrink:

¿Te refieres a leyes dentro del EEE o también en conflicto?

Alain De Maght:

Bueno, en realidad, si eres una empresa internacional, depende de tu alcance. Pero para los que son verdaderamente internacionales y cubren el mundo, empiezas a ser un reto, ¿verdad?

Natalia Stenbrink:

Trataré de ser muy rápido con esto ya que sé que hay un poco de tiempo. No sé si esto responderá completamente a su pregunta, pero una cosa que me viene a la mente y que mencionó anteriormente fue el conflicto de leyes. Esa es otra área que en realidad tenía en mi lista de lo que podría mejorarse porque tenemos leyes de sanciones. Ahora sabemos cuán importante o no importante, pero frecuente, es ahora con la guerra rusa. Tenemos el Artículo 10 que prohíbe el procesamiento de datos criminales. Hay un conflicto allí donde los estados miembros han interpretado lo que son datos relacionados con delitos.

Las empresas a las que nos enfrentamos mucho a esto, que intentan cumplir con las leyes antisoborno, con sanciones, restricciones, leyes internacionales, luego encuentran atención y conflicto entre lo que el RGPD dice que está permitido en esas áreas de procesamiento de datos relacionados con delitos. Eso es un problema, y eso necesita ser rectificado. Una solución es labrar específicamente que sí, por este interés social tan importante de prevenir, detectar la corrupción antisoborno, y también alentar a los demás países a cumplir con ciertos estándares internacionales. Esos son intereses muy elevados de que debería haber excepciones explícitas para ese tipo de procesamiento. Así que sí, hay muchas leyes en conflicto que están causando mucha confusión y estrés para…

Alain De Maght:

De acuerdo, Natalia considerando el tiempo, creo que podríamos tener el doble de tiempo para discutir todo el punto y también veo muchas preguntas, pero 40 minutos es extremadamente limitado para hacer todo esto. Tal vez Olumide en su punto solo para concluir tal vez en un minuto qué diría aquí sobre…

Olumide Babalola:

Bueno, desafortunadamente el RGPD lo ha permitido. Hay ciertas disposiciones del RGPD que permiten a los estados miembros formular sus propias leyes con respecto a ciertas disposiciones. Por ejemplo, la edad del niño, la edad de consentimiento, los estados miembros son libres de formularlas. Mire la relación entre las autoridades de control, ellas también tienen su propio nivel. Está la autoridad de control principal, y están las demás. Por lo que también cuentan con medidas de discrecionalidad y su propia formulación y comprensión del RGPD. Creo que la ley lo ha permitido. Pero me refiero a la ley, sé que ya hay conversaciones sobre la modificación del RGPD. Creo que podría haber un cierto punto en el que todas estas leyes se puedan armonizar en una sola. No necesitamos varias leyes para la directiva EE electrónica, el marketing electrónico y todas esas cosas. De hecho, todo puede armonizarse en uno. Muchísimas gracias.

Alain De Maght:

Natalia, muchas gracias por estar disponible y compartir su experiencia porque definitivamente los comentarios reflejan claramente la práctica, digamos, realidad a la que se ha enfrentado a lo largo de los años, y básicamente cuáles son todas las restricciones y limitaciones que están creando. Muchas gracias por el tiempo. [Inaudible 00:46:06] gracias por compartir toda esta experiencia fue muy valiosa. Fue un placer saber de ustedes dos y les deseamos un buen fin de tarde. Gracias a los dos.

Olumide Babalola:

Gracias.

Robert Bateman:

Muchas gracias a los tres. Un gran panel, realmente refrescante escuchar algo bien fundado pero genuino.