La tasa incesante de cambio en los entornos regulatorios y de amenazas para la ciberseguridad y la privacidad de datos no aparece en 2021, y deberíamos esperar una volatilidad creciente en 2022, lo que requiere más que nunca un futuro, basado en el riesgo y cada vez más estrategia globalizada. Al mismo tiempo, nuevas y emocionantes tecnologías siguen madurando y abren nuevas oportunidades y riesgos.
En medio de esta complejidad e interrupción, especialmente para las empresas que operan o buscan expandirse a nuevas jurisdicciones y mercados en todo el mundo, las lecciones del año pasado pueden ayudar a trazar el mejor curso para este año.
En el día Internacional de la Privacidad, vamos a analizar las tendencias en ciberseguridad y privacidad de datos para 2022.
Indice
El mínimo indispensable en privacidad no es suficiente
En 2022, como lo fue en 2021, a menudo es mejor establecer una marca alta para tu programa de privacidad si operas en múltiples jurisdicciones. Es probable que apuntar alto permita a tu organización adaptarse mejor a las nuevas leyes o reglamentos, o a las nuevas interpretaciones de los mismos.
Si 2021 es una indicación, la cantidad de leyes y regulaciones de privacidad mejoradas en EE. UU. y en todo el mundo sigue proliferando. Durante el último año:
- La Ley de Privacidad de Colorado (ColoPA) y la Ley de Protección de Datos del Consumidor de Virginia (VCDPA) se reforzaron en ley (con fechas de vigencia de 2023).
- Entró en vigor la Ley de Protección de Información Personal de China.
- Los EAU publicaron su nueva ley de privacidad.
- La ley de privacidad de Sudáfrica entró en línea.
- Los votantes de California aprobaron la Ley de Derechos de Privacidad de California (CPRA).
- La Unión Europea, en respuesta a la decisión Schrems II, encontró nuevas cláusulas contractuales estándar para permitir (o desalentar) los flujos de datos transfronterizos.
Este año, deberíamos esperar ver cuál será el próximo enfoque del Reino Unido para los flujos de datos transfronterizos, junto con posibles cambios adicionales para simplificar el RGPD del Reino Unido, y deberíamos esperar que los estados de EE. UU. reanuden los esfuerzos para aprobar sus propias leyes de privacidad mejoradas.
También es posible que veamos cambios en la Ley Federal de Protección de Información Personal y Documentos Electrónicos de Canadá (PIPEDA) y la Ordenanza de Datos Personales (Privacidad) de Hong Kong, mientras que la ley de privacidad de Tailandia entrará en vigor.
Como informamos el año pasado, el Reglamento general de protección de datos (GDPR) de Europa sigue siendo el estándar global emergente, y su cumplimiento hará que el cumplimiento de las futuras leyes de privacidad sea mucho más fácil y eficiente.
Mantén la guardia y fortalece tus defensas
Si bien el tono de los asuntos exteriores puede haber cambiado, las tensiones geopolíticas están aumentando, lo que indica que el entorno de amenazas a la seguridad cibernética seguirá siendo hostil para muchas empresas. Muchas organizaciones de amenazas cibernéticas, si no son patrocinadas por el estado, son toleradas por el estado. También se puede ganar mucho dinero con la ciberdelincuencia, especialmente con herramientas de ransomware.
En consecuencia, es más importante que nunca que mantengas y actualices periódicamente los planes y políticas de ciberseguridad y garantices que la ciberseguridad se convierta en parte de tu cultura. La ciberseguridad no se trata solo de TI, se trata de gobernanza, planificación, práctica, capacitación y responsabilidad individual desde el nuevo titular hasta el director ejecutivo.
Considera actualizar planes y políticas para abordar tipos específicos de ataques, como ataques de ransomware, que vienen con un conjunto único de consideraciones legales y prácticas. Con el aumento de ataques sistémicos en 2021, es decir, ataques que se dirigen a una vulnerabilidad común en software o dispositivos de uso generalizado, 2022 también exigirá cada vez más diligencia debida a terceros.
A medida que avanzan las amenazas y las oportunidades, también lo hacen los reguladores
Espera que los reguladores a nivel mundial intensifiquen sus esfuerzos y expectativas, y no solo en la forma de reguladores de privacidad recién creados. Los reguladores sectoriales y aquellos con responsabilidades en materia de comercio, competencia y protección del consumidor también ingresarán cada vez más en el campo de la regulación de datos para exhibir su armadura.
La pandemia ha ilustrado el poder de los datos y su importancia para la salud económica futura de las naciones, por lo que no sorprende que los reguladores encargados de moderar el poder a través de rutas antimonopolio y de competencia, o aquellos que buscan facilitar o proteger el comercio digital o los consumidores, están entrando en la refriega.
Mientras tanto, los reguladores de privacidad existentes probarán cada vez más su alcance jurisdiccional tomando medidas por sí mismos en lugar de depender de reguladores «principales» para hacerlo. Serás testigo del debate dentro de los reguladores miembros de EDPB sobre decisiones recientes y los pasos directos que ha tomado la CNIL de Francia para hacer cumplir las reglas de cookies (bajo las reglas de privacidad electrónica de la UE).
Por el contrario, también podemos esperar que aquellos que reciban las decisiones de ejecución las impugnen enérgicamente en 2022. A medida que aumenten las multas, otros impactos comerciales y las colas de los litigios, la balanza se inclina a favor de la extralimitación desafiante, los procesos de toma de decisiones deficientes, y falta de jurisdicción a través de procesos judiciales administrativos y de otro tipo.
Con la avalancha de ataques sistémicos, especialmente contra la infraestructura crítica y la cadena de suministro, los reguladores de ciberseguridad aumentan sus expectativas en relación con la ciberseguridad. En mayo de 2021, por ejemplo, el presidente Biden hizo de la ciberseguridad una de sus principales prioridades, y los departamentos y agencias federales están siguiendo su ejemplo.
Por ejemplo, en respuesta a la directiva de la administración:
- El Departamento de Justicia de EE. UU. en octubre de 2021 anunció su iniciativa Civil Cyber-Fraud, que utilizó la Ley de Reclamaciones Falsas para perseguir el fraude relacionado con la seguridad cibernética por parte de contratistas gubernamentales y beneficiarios de subvenciones. La iniciativa aprovecha el poder adquisitivo del gobierno federal para elevar el nivel de la seguridad cibernética, con la esperanza de que los estándares adoptados por los contratistas del gobierno eventualmente sean igualados por la industria privada.
- La Oficina de Control de Activos Extranjeros (OFAC) del Tesoro de EE. UU. emitió una guía actualizada sobre ransomware que describe las medidas defensivas y de respuesta que se deben tomar en caso de un ataque, incluidas las acciones que pueden ayudar a mitigar la aplicación de la OFAC si una empresa paga un rescate. También comenzaron a sancionar los intercambios de criptomonedas que facilitaron los ataques de ransomware.
- La Red de Ejecución de Delitos Financieros (FinCEN) identificó el delito cibernético como una prioridad principal para la política contra el lavado de dinero y el financiamiento del terrorismo y publicará reglamentará para implementar esta política en un futuro muy cercano.
Estos ejemplos de EE. UU. son ilustrativos de los movimientos que anticipamos que seguirán a nivel mundial. Dentro de Europa, hay propuestas para una nueva Directiva de infraestructura nacional de la UE (llamada Directiva NIS 2.0), así como requisitos específicos del sector que aparecen, como la Ley de resiliencia operativa digital para servicios financieros, y nuevas leyes de ciberseguridad del Reino Unido y estándares internacionales centrados en dispositivos inteligentes.
Es importante destacar que los reguladores globales (y cada vez más los reguladores sectoriales) funcionan prestando mucha atención a la preparación para la seguridad cibernética, lo que incluye algunas empresas que han sufrido filtraciones de datos a un mayor escrutinio, y adaptando o mejorando nuevos estándares mínimos para los programas de seguridad de datos.
En consecuencia, es más importante que nunca que te mantengas al tanto de las amenazas más recientes y las últimas expectativas sobre ciberseguridad razonables o apropiadas.
Cada vez más jurisdicciones esperan ver el uso de autenticación y encriptación de múltiples factores, por ejemplo, y la mayoría esperará ver un programa actualizado de seguridad de la información, incluida la diligencia debida de terceros.
Abrazar el metaverso
El metaverso y la web3, incluidos los NFT, los contratos inteligentes, las DAO y las criptomonedas, seguirán evolucionando de maneras nuevas y emocionantes, lo que planteará problemas novedosos y fascinantes de privacidad, seguridad, responsabilidad e propiedad intelectual, entre otros.
Pero en este entorno que se desarrolla rápidamente, es posible que las empresas no tengan tiempo para esperar la seguridad jurídica antes de implementar o adoptar nuevas tecnologías. Más bien, deben anticipar las tendencias regulatorias y legislativas y, a menudo, incorporar estándares globales de privacidad y seguridad en las primeras etapas, mientras toman decisiones prospectivas basadas en el riesgo.
En la UE, la Ley de Mercados Digitales, entre una plétora de otras propuestas, está demostrando que los reguladores continuarán superponiendo controles a medida que vean que la tecnología se adelanta a las reglas existentes.
Mayor escrutinio sobre el uso de la IA
A medida que la tecnología de Inteligencia Artificial (IA) continúa avanzando a un ritmo acelerado, su impacto en el mundo real en las decisiones importantes en la vida de las personas seguirá creciendo, lo que destaca la importancia de emplear algoritmos que producirán resultados justos y defendibles
Actualmente, la toma de decisiones automatizada puede influir en la capacidad de obtener empleo, crédito, vivienda y atención médica, entre otras cosas, y la forma en que se programa e implementa conlleva el riesgo de sesgo, impacto dispar y resultados inequitativos. Las empresas que hacen uso de esta tecnología deben considerar no solo desarrollar IA que minimice la posible discriminación, sino también documentar adecuadamente sus esfuerzos y supervisión continua.
Existe una atención de los reguladores en el desarrollo de esta tecnología; por lo tanto, dedicar tiempo y esfuerzo para hacerlo bien desde el principio producirá mejores resultados para los consumidores y posiblemente evitará acciones de incumplimiento y/o litigios.
Mayores demandas de privacidad
En 2021, los demandantes presentaron demandas colectivas derivadas no solo de violaciones de datos, sino también de cuestionar el uso de nuevas tecnologías. Esta tendencia no se limita solo a los EE. UU. El impulso hacia las reclamaciones grupales aumenta también en jurisdicciones globales clave, con los abogados de los demandantes, las asociaciones de consumidores y los activistas de la privacidad que exploran los límites de las acciones grupales y cuestionan la legislación de privacidad existente. Esta tendencia se acelerará este año y pondrá un premio tanto en el cumplimiento proactivo y documentado como en las capacidades de respuesta bien practicadas.
A medida que surjan nuevos usos para la tecnología de reconocimiento facial, también lo harán las demandas que surjan de esa tecnología, especialmente a medida que más estados adopten leyes similares a BIPA que permitan sanciones legales y derechos privados de acción.
Del mismo modo, a medida que el mercado de criptomonedas continúa creciendo y varias plataformas de intercambio y préstamo centralizadas y descentralizadas atienden a clientes estadounidenses e internacionales, 2021 vio una aumento de demandas colectivas de criptomonedas.
Esta tendencia también se acelerará en 2022, cuando los tribunales y los tribunales de arbitraje se enfrenten a una variedad de reclamacioness novedosas contractuales, de protección del consumidor y de valores relacionados con las criptomonedas. Dado el estatus legal inestable de las criptomonedas, su alcance descentralizado y global, y la extrema volatilidad en esos mercados, estas afirmaciones serán cada vez más comunes.
Por lo tanto, las empresas que operan en el espacio criptográfico deben considerar revisar detenidamente los términos y condiciones de su plataforma para asegurarse de que estén adecuadamente protegidas, prestando especial atención a las disposiciones legales vigentes y los mecanismos de resolución de disputas (y considerando si el arbitraje puede ser el más protector).
En Europa, estamos a la espera de algunas decisiones clave del Tribunal de Justicia de la Unión Europea (TJCE) que afectarán a las organizaciones en particular en su frente de litigios de privacidad. Se espera que el tribunal proporcione respuestas a preguntas fundamentales, tales como: ¿los daños inmateriales deben ser significativos según el RGPD para otorgar una compensación al interesado?; ¿La cuantía del daño inmaterial debe evaluarse también desde el punto de vista de la prevención general?
Otra cuestión que debe decidir el TJCE es si la culpa menor o la falta de culpa por parte del responsable o del encargado del tratamiento pueden tenerse en cuenta a su favor a la hora de evaluar el importe de las multas y los daños y perjuicios.
Finalmente, una pregunta interesante se relaciona con si las personas que no sean los interesados afectados (por ejemplo, las asociaciones de consumidores) pueden iniciar procedimientos judiciales por violaciones del RGPD contra el infractor. dependiendo de las respuestas del TJCE, las empresas deben adoptar su estrategia de litigio de privacidad.
En la República Popular de China, observamos que se iniciaron varios procedimientos contra varias organizaciones de «BigTech» a los pocos días de la entrada en vigor de la PIPL, ya que el uso de datos personales en el continente se enfrenta a un mayor escrutinio.
En 2021 vimos la importante «represión tecnológica», con las autoridades reguladoras de China continental examinando de cerca las operaciones de sus empresas de tecnología en lo que surgió como un momento decisivo para las organizaciones tecnológicas. A medida que nos embarcamos en 2022, esperamos ver a las autoridades reguladoras continuarán con su postura de línea dura sobre los gigantes tecnológicos a medida que se ven sometidos a una mayor presión para alinearse con las prioridades estratégicas nacionales de China.
La ley laboral y la ley de privacidad se cruzarán cada vez más
Los aspectos clave de la privacidad y la legislación laboral seguirán fusionándose. Al igual que en Europa, muchas de las leyes de privacidad que surgen a nivel mundial extienden la protección al personal a los solicitantes de empleo. En EE. UU., los derechos de la Ley de derechos de privacidad de California entrarán en vigencia el 1 de enero de 2023, lo que implica datos de recursos humanos.
Con diferentes requisitos sobre cuándo se requiere el consentimiento u otra base legal o si un aviso es suficiente, globalizar un enfoque para esta categoría de datos es un desafío tanto operativo como legal que enfrentan las organizaciones en la mayoría de los sectores.
En particular, la pandemia ha resaltado la importancia de la seguridad de los empleados, la monitorización de los empleados y la protección de la información confidencial. Estos flujos de trabajo conducirán posiblemente a la recopilación de datos confidenciales de los empleados.
Por ejemplo, un número cada vez mayor de empresas ahora se inclinan por la monitorización de los empleados para determinar la seguridad de la información comercial y la productividad. Sin embargo, esta es un área de controversia en varias jurisdicciones, ya que los empleados usan equipos de la empresa para almacenar datos personales y más conductores instituyen políticas de «Traiga su propio dispositivo».
El mayor uso de la inteligencia artificial complica aún más el panorama de la privacidad de los empleados, ya que los abusos lidian con las consiguientes obligaciones de la ley de privacidad y la ley laboral. Por ejemplo, una medida reciente del Concejo Municipal de Nueva York, vigente en enero de 2023, requiere que los empleadores notifiquen a los candidatos si se utiliza inteligencia artificial para tomar decisiones de contratación y algunas dichas herramientas a una auditoría de sesgo anual.
Conclusión
La volatilidad y la complejidad dentro de la ciberseguridad y la privacidad de los datos seguirán aumentando en 2022, y las nuevas tecnologías seguirán siendo tremendamente prometedoras, especialmente si los abogados están al frente para incorporar la privacidad y la seguridad desde el diseño. Con preparación estratégica, previsión y planificación, las empresas seguirán cosechando los beneficios mientras mitigan los riesgos.