Protección de Datos para este 2023 ¿Qué nos espera?

Protección de Datos para este 2023 ¿Qué nos espera?

____

Lic. Juan Ignacio Zamora Montes de Oca, LL.M. (28 enero 2023)

____

Meta, nuevas regulaciones, hackeos, inteligencia artificial (IA), machine learning (ML) y otros, marcaron nuestro 2022 en el área de la protección de datos personales. Hoy aprovecho la celebración del Día de la Protección de Datos, aniversario en el que se celebra la firma del Convenio 108 del Consejo de Europa para la Protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (28 de enero de 1981), para plantear mis percepciones de lo que nos espera en este 2023 en temas de privacidad y protección de datos. Esto nos permite trazar a inicio de año un panorama, en donde miramos hacia el futuro pensando en qué aspectos impactará la privacidad a nivel global.

Sin duda alguna, la incertidumbre económica actual dificultará que las empresas desarrollen sus prioridades de protección de datos personales y privacidad para 2023, pero es requerido que veamos con buenos ojos todo aquello que nos va a permitir brindar más seguridad a la utilización de los datos y donde debemos centrar nuestros esfuerzos para generar una cultura de apertura al uso de datos de manera segura.

Cada día se busca proteger más la información. La firma de investigación y consultoría en tecnología Gartner proyecta que para este año el 75% de los países a nivel global contará con una regulación específica en protección de datos. Esto nos muestra que dicho tema es considerado una prioridad para los países.

El tratamiento adecuado, así como el compartir y analizar información en beneficio de la salud o de las finanzas permite que se logren mejoras en los sistemas de salud e incluso se proteja a las personas de fraudes informáticos.

De acuerdo a Finbold las violaciones a la RGPD (Regulación Europea de Protección de Datos), aumentaron un 113.5% entre julio 2020 y julio 2021, y las multas impuestas aumentaron de 332 en 2020 a 709 en 2021. Empresas como Google y H&M tuvieron que pagar montos que van desde los 35 hasta los 60 millones de euros por violaciones a la regulación de protección de datos.

Cada día, considerando el aumento en el uso de los datos, se busca establecer más controles y se dan interpretaciones más estrictas a las regulaciones vigentes. La misión de proteger los datos personales ha avanzado mucho en los últimos años, y las Agencias de Protección de Datos cada vez tienen mejores recursos para la protección humana y financiera. Sin embargo, es muy importante no dejar que dicha protección limite el uso de los datos de manera controlada, pues con las herramientas adecuadas se pueden beneficiar los sistemas educativos, de salud, transporte y muchas otras áreas.

Considerando esto, para este 2023, estos son algunos de los tópicos que debemos valorar en nuestro panorama de utilización de datos personales de manera segura y en beneficio de la colectividad.

Nuevas regulaciones

En nuestro país vemos una marcada intención de modificar la regulación existente (Ley N° 8968) por una que se ajuste al protocolo 108 y a la Regulación Europea de Protección de Datos. Esto con el fin de brindar más garantías en la protección de la información personal. El proyecto de ley que actualmente se discute, ha pasado por varias modificaciones en aras de que el mismo se ajuste a las nuevas tendencias y permita al mismo tiempo un manejo seguro de la información, pero con la apertura de permitir un tratamiento que genere beneficios a la sociedad en temas como salud, infraestructura y educación, entre otros.

A nivel global la RGPD sigue siendo el estándar global de protección de datos. Esta normativa rige la recopilación, el uso, la transmisión y seguridad de los datos recopilados de los residentes de cualquiera de los 28 países miembros de la Unión Europea, independientemente de la ubicación de la entidad que recopila los datos personales. La misma puede imponer multas de hasta 20 millones de euros o el 4% de la facturación global total a las organizaciones que no cumplan con sus lineamientos.

A nivel europeo también debemos considerar la entrada en vigencia de la Ley de Servicios Digitales (DSA por sus siglas en inglés) la cual aborda el contenido ilegal o dañino, obligando a plataformas como Google y Facebook a eliminar el contenido que no cumple con ciertos estándares. El principio de esta norma es “lo que es ilegal fuera de línea debe ser ilegal en línea”, de acuerdo al Consejo de la UE. Dicha norma entró en vigor el 16 de noviembre de 2022, aunque diferentes disposiciones de la ley entrarán en vigencia en diferentes momentos y la ley entrará en plena vigencia el 17 de febrero de 2024.

La misma se aplica a cuatro categorías de empresas:

•           Servicios intermediarios que ofrecen infraestructura de red, como ISP

•           Servicios de alojamiento, como la nube y los servicios de alojamiento web

•           Plataformas en línea que reúnen a vendedores y consumidores, como mercados en línea, plataformas sociales y tiendas de aplicaciones.

•           Plataformas en línea de gran tamaño que llegan a más del 10% de los 450 millones de consumidores en Europa.

La Ley de Mercados Digitales (DMA por sus siglas en inglés) establece lineamientos a las plataformas digitales más grandes conocidas como "guardianes", (dentro de las que se incluyen empresas tales como Apple, Facebook, Google, y Microsoft). Su objetivo es poner al mismo nivel en el escenario en donde brindan servicios las empresas digitales y evitar que estas empresas denominadas “guardianas” establezcan condiciones que pueden ser injustas con otros competidores. A manera de ejemplo, una empresa como Apple no podría clasificar los productos en su sitio de una manera que le dé una ventaja a los propios productos y servicios de Apple.

Para determinar a una empresa como “guardián” se considera:

•           Si tiene una posición económica sólida, un impacto significativo en el mercado de la UE y está activo en varios estados miembros de la UE

•           Tiene una posición sólida como intermediario que vincula una gran base de usuarios con una gran cantidad de empresas.

•           Tiene o tendrá próximamente una posición de arraigo en el mercado

El Marco Regulatorio de Privacidad entre la EU y los Estados Unidos. Si bien esto no es una ley per se, dicho marco de privacidad de datos es un factor importante a tener en cuenta.

Anteriormente, las empresas que transferían datos de ciudadanos de la UE a los EUA se basaban en un marco denominado “Privacy Shield” para garantizar que los datos estuvieran suficientemente protegidos, pero ese marco se consideró inválido durante el caso judicial Schrems II. Desde entonces, las empresas se han basado en cláusulas contractuales estándar aprobadas por la Comisión Europea para brindar protección legal a las transferencias de datos.

El 7 de octubre anterior, el presidente Biden emitió una orden ejecutiva sobre la mejora de las salvaguardias para las actividades de vigilancia de señales de los Estados Unidos. Dicha orden describió el nuevo marco de privacidad de datos entre EU-EUA, que incluye medidas de seguridad adicionales, un mecanismo de reparación para los ciudadanos de la UE y los EUA a quienes se les haya violado sus derechos, y mayores protecciones para los datos de ciudadanos extranjeros que se hayan transferido a los EUA. Además, el marco requiere que las agencias de inteligencia realicen actualizaciones a las políticas y procedimientos relacionados con la vigilancia.

Actualmente, y desde el 13 de diciembre anterior, el marco propuesto está siendo revisado por la Comisión Europea con aportes del Consejo Europeo de Protección de Datos. Es probable que haya críticas de los grupos europeos de defensa de la privacidad, pero si el marco sobrevive, podría ser el método que usen las empresas para transferir datos entre la UE y Estados Unidos. Por lo pronto este tema seguirá siendo un reto para los negocios internacionales.

El Reglamento de Privacidad Electrónica (E-Privacy o ePR). Dicha norma ha tenido un camino complicado (originalmente la intensión era que entrara en vigor junto con el Reglamento General de Protección de Datos de la UE en 2018), pero se ha estancado durante años. En marzo de 2022, el Consejo de la UE acordó un borrador, pero la regulación se espera hasta este año. Además, si el ePR entra en vigor durante 2023, habrá un período de transición de 24 meses. Por lo tanto, lo más pronto posible, las empresas deberán cumplir para 2025.

Esta regulación, de aprobarse, crearía reglas de privacidad para los servicios de comunicaciones electrónicas tradicionales y las entidades que no estaban cubiertas por la ley anterior, como WhatsApp, Facebook Messenger y Skype.

Asimismo, crearía reglas más estrictas sobre la privacidad de las comunicaciones electrónicas y se aplicaría al contenido de las comunicaciones y los metadatos. Bajo la ePR, los proveedores de servicios y las redes de comunicaciones electrónicas deben obtener el consentimiento previo del usuario antes de procesar sus metadatos de comunicaciones electrónicas.

Aplicable a la UE, la Ley de Inteligencia Artificial (AI Act) se aplicaría a cualquier empresa que haga negocios en dicho territorio, y que desarrolle o adopte sistemas de IA de "alto riesgo". Estos sistemas afectan el empleo, el crédito, la atención médica y otros dominios críticos.

La Ley se introdujo en 2021 y actualmente está pendiente de examen en el Parlamento Europeo. La misma se someterá a votación en algún momento del primer trimestre de 2023, sin embargo, dada la complejidad de AI, esta votación puede retrasarse para incorporar más enmiendas.

La Ley de IA también se aplicaría extraterritorialmente, lo que significa que la ley cubrirá a las empresas con sede en otros lugares si tienen clientes o usuarios dentro de la UE, convirtiéndola efectivamente en una regulación global.

Según la Ley, las empresas con sistemas de IA aplicables tendrían que:

•           Realizar evaluaciones de impacto, mantener registros y cumplir con las obligaciones de transparencia

•           No desarrollar sistemas que puedan usarse para manipular el comportamiento de una persona de una manera que pueda causar daño mental o físico.

•           No desarrollar sistemas que puedan utilizarse para explotar las vulnerabilidades de un grupo específico debido a su edad, discapacidades físicas o mentales, o comportamiento de una manera que pueda causar daño psicológico o físico.

•           No desarrollar sistemas que puedan explotar a grupos vulnerables en función de la edad o discapacidad física o mental.

•           No desarrollar sistemas que proporcionen datos biométricos remotos en tiempo real en espacios de acceso público por parte de las fuerzas del orden.

Normativa de los Estados Unidos. En dicho país hasta inicios de este año solo un estado tenía una ley de privacidad de datos efectiva. La Ley de Privacidad del Consumidor de California (CCPA) fue la primera regulación de privacidad de datos en dicho país, misma que entró en vigencia el 1 de enero de 2020.

Para 2023, hay una serie de leyes que entrarán en vigor:

La Ley de derechos de privacidad de California (CPRA) entrará en pleno funcionamiento el 1 de enero de 2023. La CPRA modificará las disposiciones existentes mediante la creación de nuevos y ampliados derechos para los consumidores de California: la ley introduce mayores protecciones para la información personal confidencial, que incluye seguridad social, licencia de conducir, pasaporte, dirección, números de cuenta financiera y otra información altamente privada. Los consumidores podrían limitar la capacidad de las empresas para recopilar o procesar estos datos.

La Ley de Protección de Datos del Consumidor de Virginia (VCDPA) también entró en vigencia el 1 de enero de 2023.

La Ley de Privacidad de Colorado (CPA) entrará en vigor el 1 de julio de 2023.

La Ley de privacidad de datos de Connecticut también entrará en vigencia el 1 de julio de 2023.

La Ley de Privacidad del Consumidor de Utah entrará en vigencia el 31 de diciembre de 2023.

Además, cuatro estados (Michigan, Nueva Jersey, Ohio y Pensilvania) tienen proyectos de ley activos, que se supone que se firmarán en un futuro próximo. Otros estados tienen proyectos de ley de privacidad en diferentes procesos legislativos.

En el 2023 las empresas invertirán más en tecnologías para proteger la privacidad

El gasto impulsado por la privacidad en el cumplimiento de las leyes de privacidad seguirá aumentando en 2023. A medida que las nuevas regulaciones de privacidad evolucionan constantemente, las empresas invertirán más en tecnologías de privacidad para ganarse la confianza de los usuarios y evitar multas. Actualmente, las empresas de mercadeo emplean modelos comerciales que se basan en compartir información personal, sin embargo, esto está cambiando rápidamente, y si bien las tecnologías de mejora de la privacidad tomaron el centro del escenario en 2022, seguirán aumentando en 2023. Como ejemplo, en 2019, Google lanzó Privacy Sandbox y actualmente está trabajando en Trust token API y otras tecnologías de privacidad para reemplazar las cookies de terceros.

Estas inversiones corporativas deberán incluir una constante y continua educación para luchar contra el factor humano en la ciberseguridad, el cual ha sido identificado como el riesgo número uno. Esto para frenar las amenazas internas y la aplicación de la ingeniería social, buscando proteger los datos personales y otra información confidencial.

A medida que las empresas implementan estas medidas de ciberseguridad cada vez más integrales, sabemos que las personas siguen siendo el eslabón más débil. Según las estimaciones, el 91 % de todos los ataques cibernéticos comienzan con un correo electrónico de phishing, y estas técnicas están involucradas en el 32 % de todas las violaciones de datos exitosas.

Es claro que las empresas toman medidas para proteger los datos, ya que las infracciones causan daños a la reputación, escrutinio regulatorio y, dependiendo de la legislación local, fuertes multas. En países como los EUA, las personas recurren a las demandas colectivas para recibir compensación por daños y perjuicios, y en Europa las multas de acuerdo a la RGPD pueden ser enormes. Todo esto hace que la conciencia sobre la privacidad siga creciendo, y que la gente tome medidas preventivas más seguras. Una forma de hacerlo que actualmente está de moda es el asegurarse contra violaciones de datos. Si bien ya existen servicios que recuperan pérdidas en caso de robo de identidad, podríamos esperar una mayor variedad de ofertas de seguros en el futuro.

De igual manera, la mejor forma de mitigar todas estas amenazas, es que empresas e instituciones inviertan en soluciones de prevención de fugas de datos, así como en una educación más completa de los usuarios para aumentar la conciencia sobre ciberseguridad.

Habrá más sanciones por violaciones a la seguridad de datos personales

En 2021-2022, las grandes empresas de tecnología fueron condenadas a pagar multas multimillonarias por las infracciones de la RGPD. El importe total de las multas asignadas solo por Meta hasta finales de 2022 por la Comisión de Protección de Datos de Irlanda por infringir dicha norma y la Directiva de privacidad electrónica asciende a casi 1.000 millones de euros. Además, la Comisión de Protección de Datos de Irlanda también tiene 40 consultas abiertas para otras grandes empresas tecnológicas.

Esta tendencia continuará en 2023, y probablemente veremos más empresas condenadas a pagar  grandes multas por incumplimiento de las normas de privacidad, especialmente las europeas.

Las normas de protección de datos, de cookies u otras tecnologías de seguimiento están en constante evolución, lo que significa que los propietarios de sitios web deben actualizar continuamente su política de privacidad actual y procesar la información personal de acuerdo a las normas. De lo contrario, esta seguirá siendo una de las falencias más graves que se dan a nivel de protección de la información.

La portabilidad de datos no debe ser comprometida.

En 2023 la portabilidad de datos será una de las preocupaciones más importantes. Costa Rica lo discute en su actual proyecto de Ley, y muchas empresas migrarán a usar la nube en 2023, pero, ¿qué es la portabilidad de datos?

Es la capacidad de mover conjuntos de datos entre plataformas sin cambiar su contenido. Es un problema importante para las empresas que buscan transferirse de un proveedor de servicios en la nube a otro. Con frecuencia les preocupa que el proveedor anterior no retenga ninguno de sus datos. Hay preocupaciones constantes de que cuando transfieren datos, sus servicios, sistemas y aplicaciones alojados en la nube puedan o no seguir funcionando según lo previsto, o tengan el mismo nivel de privacidad y protección de datos.

Además, el impulso de la interoperabilidad influirá en los marcos de protección de datos y las regulaciones de privacidad. Sin embargo, la realidad es que todavía existen muchas barreras técnicas para la portabilidad de datos, pero una vez que se resuelvan los problemas técnicos, no pasará mucho tiempo antes de que la misma se convierta en el estándar. De esta manera se volverá más simple y factible cuando la Web 3.0 sea más frecuente.

Para esto es crucial crear un entorno digital en el que ninguna organización tenga un control total sobre los datos de los usuarios. Y el mejor medidor de esto será que en general, la seguridad y la privacidad aumentarán junto con la portabilidad de los datos.

Se generarán más puestos de trabajo en ciberseguridad y privacidad de datos

El aumento y el cambio de las regulaciones de privacidad en todo el mundo generarán más trabajos de ciberseguridad de datos. El aumento de trabajos relacionados con la tecnología en los últimos años disipa el mito de que la ciencia de datos y la inteligencia artificial reemplazan el trabajo humano.

En consecuencia, en los últimos años se han creado nuevos programas de educación en tecnología para satisfacer la demanda de puestos de seguridad de datos. La necesidad de expertos en seguridad de datos y asesores legales sobre privacidad está aumentando constantemente, y dicha tendencia continuará en 2023.

Los Smartphones reemplazarán cada vez más a los procesos basados en papel.

El uso de teléfonos inteligentes u otros dispositivos inteligentes para pagar a través de NFC (por ejemplo, Apple Pay, Samsung Pay) o código QR (por ejemplo, Swish en Suecia o WeChat en China) está creciendo rápidamente, y probablemente convertirá en obsoletas las tarjetas clásicas de débito y crédito, especialmente donde los pagos sin efectivo ya dominan. Asimismo, el COVID-19 demostró que los teléfonos inteligentes también se pueden usar como prueba de vacunación o estado de salud, ya que muchos países usaron aplicaciones dedicadas o códigos QR durante la pandemia, por ejemplo, para proporcionar acceso a instalaciones públicas para ciudadanos vacunados.

Ahora bien, ¿por qué detenerse allí? Los teléfonos inteligentes también se pueden usar como identificaciones. Se puede usar una versión digitalizada de una tarjeta de identificación, pasaporte o licencia de conducir en lugar de las de plástico o de papel. De hecho, varios estados de los EUA ya están usando o planean usar identificaciones digitales y licencias de conducir almacenadas en Apple Wallet. De la misma manera ya bancos en Europa permiten el depósito de cheques con fotografías enviadas por medio de los teléfonos celulares.

Eso sí, tener su identificación almacenada en un teléfono trae tanto conveniencia como riesgos. Por un lado, un sistema bien implementado te permitiría verificar en una tienda que eres mayor de edad para comprar alcohol sin mostrar al cajero todo el documento con otros detalles como el nombre o la dirección, pueden acelerar significativamente muchos procedimientos como solicitar un préstamo en línea.

Pero también es importante de igual forma considerar que el uso de un teléfono inteligente para almacenar una cantidad cada vez mayor de datos personales crea un punto de fallas centralizado, lo que plantea serias preocupaciones de seguridad considerando que el eslabón más débil de la seguridad es el humano. Esto impone serias exigencias a la seguridad de los dispositivos móviles y a las formas de conservación de la privacidad de los datos.

Gobernanza de la IA

La constante necesidad de mejorar la seguridad en el tratamiento de datos personales ha hecho que, de acuerdo a Gartner, hayamos pasado de apoyarnos en un 5% a un 40% en la inteligencia artificial con el fin de lograr cumplir con los requerimientos de privacidad que se vigentes. Esto va de la mano con aplicaciones que utilizamos todos los días y que nos apoyan en nuestra toma de decisiones. Un ejemplo muy sencillo es cuando estamos trabajando en un procesador de texto en nuestra computadora y aparece una sugerencia de texto para finalizar nuestra frase, prediciendo de alguna forma lo que intentamos escribir. El mayor reto que se tiene hoy en día por parte de quienes utilizan IA para mejorar sus procesos y mantener mejores controles en el manejo de los datos personales, es el control apropiado de esa IA para evitar situaciones de riesgo en dicho manejo de datos

La IA y el ML tendrán un impacto cada vez mayor en la privacidad de los datos.

A este punto, ya no debería sorprender que las tecnologías de seguridad de datos utilicen procedimientos automatizados, dada su creciente prevalencia en prácticamente todas las industrias. Sin embargo, con respecto a la privacidad de los datos, la inteligencia artificial es tanto una bendición como un peligro.

Muchos gobiernos ya están desarrollando legislación relacionada con la IA para limitar su influencia. Esto pretende que la IA no muestre sesgos al procesar datos, principalmente cuando hacerlo tenga ramificaciones de impacto para los consumidores.

La situación compleja que se nos presenta es que en 2023, las tecnologías de privacidad impulsadas por IA serán utilizadas tanto por los ciberdelincuentes para sostener la ingeniería social que tanto nos afecta hoy, como también serán utilizadas para identificar y detener de manera proactiva las ciberamenazas. A las autoridades les resultará más sencillo detectar posibles violaciones de datos y tomar medidas preventivas utilizando ML para descubrir patrones.

Si bien la automatización en la protección de la privacidad no ha avanzado tanto como en otras industrias, en 2023 y en años venideros podemos esperar una gran mejora en esta área. A medida que se desarrolle, la tecnología será más adecuada para la protección de datos, permitiendo que dicha automatización también nos ayude con muchos de nuestros problemas actuales de privacidad y seguridad si logramos utilizarla de manera correcta.

Los consumidores priorizarán la protección de sus datos.

Las preocupaciones sobre la privacidad de los consumidores están aumentando como resultado de las filtraciones de datos generalizadas, y actualmente se toman acciones para salvaguardar los datos de los usuarios.

Los clientes pueden dejar de confiar en las empresas que no protegen sus datos y no actúan de manera transparente, particularmente ahora que los consumidores están más informados y son más conscientes de sus derechos. Antes, la gente no sabía qué estaba pasando con sus datos, pero hora apuntan a la transparencia además de ser muy conscientes cuando se trata de proporcionar su información personal.

A manera de conclusión, veremos el 2023 como un año en donde la transparencia en el manejo de datos personales será algo que los titulares de datos demanden y los responsables deban de cumplir. Esto va a permitir que las empresas puedan desarrollarse mucho en este campo. Programas especializados de privacidad, ciberseguridad con énfasis en riesgo, más espacios para profesionales en tecnologías de la información, todo esto generará más mercado de lo que ya hemos visto en los últimos años.

Quedan aún muchas interrogantes, tales como el manejo de los “dark patterns” o cómo manejar de manera segura el trabajo remoto, o temas importantes como el “privacy by design” como estándar mínimo, pero sabemos que poco a poco lograremos desarrollar normativa y tecnologías que nos permitan convivir con esto de manera segura.

Por lo pronto, eduquémonos y eduquemos en cómo proteger nuestros datos de la manera más segura, y permitamos que, aplicando dicha protección, se permita un uso de datos responsable que nos asegure impactar de manera cualitativa en áreas como la salud, la infraestructura, la educación, la vivienda, para de esta manera lograr maximizar nuestros recursos y permitir un desarrollo humano sostenible.