Si bien las trágicas consecuencias humanas de COVID-19 se han manifestado en los boletines de noticias nocturnos, los reguladores de toda Europa se han apresurado a ajustar su enfoque para minimizar sus consecuencias económicas inmediatas ya más largo plazo. Al principio, el Comisionado de Información (ICO) del Reino Unido declaró su razonabilidad y pragmatismo ante la emergencia de salud y, el 15 de abril, lo puso en práctica en una publicación que establece su enfoque regulatorio durante la pandemia de coronavirus.
El documento de la ICO es una de una serie emitida por el regulador de datos en las últimas semanas y será bienvenida por los controladores y procesadores de datos bajo una presión excepcional. Sin embargo, aquellos que busquen la exención de las obligaciones de seguridad de datos en este momento se verán en vano y los incautos seguirán teniendo riesgos.
Tres factores subyacen al enfoque regulatorio temporal de la OIC durante la pandemia: las organizaciones reguladas enfrentan escasez de personal y operación, las autoridades públicas están preocupadas por satisfacer las demandas de servicio de primera línea y las restricciones financieras agudas están restringiendo las finanzas y los flujos de efectivo. Como reconoce el regulador, estos factores pueden afectar la capacidad de los controladores de datos para cumplir con la legislación de datos. En lugar de parecer "de orejas de hojalata", el ICO, como el Supervisor Europeo de Protección de Datos y las autoridades nacionales de supervisión de datos en toda Europa, ha elegido resaltar la flexibilidad incorporada en el Reglamento General de Protección de Datos (GDPR) de la UE y tranquilizar a los que regula dando una idea de cómo se aplicarán las reglas de datos durante esta situación excepcional.
Enfoque de ICO durante emergencias de salud
Entre las indicaciones de alto nivel establecidas en el documento de la OIC se encuentran que el regu lador suspenderá el trabajo de auditoría de datos para centrarse en los desafíos más serios para el público, usará sus poderes formales para requerir información con moderación y permitirá un mayor tiempo para responder, y realizar menos investigaciones para concentrarse en circunstancias que sugieran un incumplimiento normativo grave. De hecho, el 1 de abril, el Tribunal de primer nivel, que escucha las apelaciones de los avisos de la OIC, ya había otorgado la solicitud del Comisionado de Información de una suspensión general de 28 días en todos los procedimientos como resultado de la pandemia. Si bien la solicitud de suspensión de la ICO se realizó por razones técnicas, es un claro ejemplo del enfoque regulatorio modificado de la ICO. Su efecto práctico será que el cumplimiento de la información, la evaluación, el cumplimiento y los avisos de sanciones también se suspenderán, otorgando a los destinatarios un "espacio de respiración" temporal.
Como parte del enfoque de la OIC durante la pandemia, es improbable una acción de cumplimiento donde la Ley de Libertad de Información y las solicitudes de acceso de los sujetos de datos no se satisfacen dentro de los plazos normales. La notificación de incumplimiento requerida según el Artículo 33 del GDPR aún debe notificarse al regulador dentro del período de 72 horas requerido. Sin embargo, incluso aquí, el perro guardián sugiere flexibilidad donde la fecha límite de informes se ve afectada por la crisis actual. Dicho esto, cualquier organización que viole las leyes de protección de datos para aprovechar la situación probablemente enfrentará graves consecuencias.
En términos del impacto de COVID-19 en las sanciones de GDPR, mucha atención de los medios se ha centrado en el acuerdo de ICO con British Airways y Marriott para extender su proceso disciplinario por violaciones de datos de alto perfil que involucran miles de datos personales y financieros de clientes, que salieron a la luz durante 2018, hasta más tarde en el verano. Este aplazamiento está dando lugar a especulaciones de que la pandemia fue la causa. De hecho, se habían otorgado extensiones anteriores en enero, semanas antes de que se declarara la pandemia, lo que indica que otros factores están trabajando en la resolución de esas investigaciones.
Sin embargo, la Política de Acción Regulatoria establecida por la OIC siempre incluyó la capacidad de pago como un factor para determinar el monto de cualquier sanción, y el regulador de datos ahora ha reconocido abiertamente que la situación actual probablemente reducirá las multas. Dado el "golpe" financiero sufrido por las industrias de la aerolínea y la hostelería desde que se declaró la pandemia, sería realmente sorprendente si esto no fuera una consideración clave al determinar las sumas finalmente pagadas por los dos gigantes corporativos afectados.
¿Una falsa sensación de seguridad?
Si bien la velocidad a la que se extendió COVID-19 ha dejado a los legisladores y reguladores con pocas opciones más que relajar la regulación, esto conlleva importantes riesgos de cumplimiento.
Cuando la regulación intenta adaptarse demasiado rápido a circunstancias nuevas y de rápido desarrollo, existe el riesgo de una simplificación excesiva. Por ejemplo, en su orientación bien intencionada a los muchos grupos de apoyo de la comunidad que han crecido durante la pandemia, el ICO aparentemente reduce la prueba GDPR de tres partes finamente equilibrada de la base de intereses legítimos para el procesamiento de datos a una sola oración. Esto demuestra el riesgo de que la orientación normativa urgente emitida a raíz de la pandemia pueda llevar a los incautos a un error inadvertido.
Del mismo modo, a medida que los patrones de trabajo tradicionales basados en la oficina se han volcado repentinamente, los delincuentes han aprovechado las oportunidades que brinda la infraestructura de tareas domésticas utilizando técnicas de phishing, secuestrando reuniones en línea y explotando vulnerabilidades en las tecnologías de virtualización de escritorio. Al leer el enfoque de la OIC durante la pandemia, inicialmente se puede asumir una actitud de "perdón" hacia las violaciones de datos. De hecho, el ICO en otros lugares deja en claro que los responsables de la seguridad de los datos deben considerar las mismas medidas para la tarea que se considerarían en circunstancias normales. La seguridad laxa que expone a los sujetos de datos a un riesgo significativo, particularmente después de las advertencias generales de un mayor peligro por parte del Centro Nacional de Seguridad Cibernética, la Agencia Nacional del Delito y la propia OIC, aún puede precipitar una investigación reguladora costosa y perjudicial para la reputación, si no ahora, más adelante la línea.
Si bien los controladores y procesadores de datos acogerán con beneplácito la seguridad proporcionada por el ICO en este momento, el enfoque normativo sigue basado en principios; La certeza de lo que se requiere seguirá siendo difícil de alcanzar. Las empresas y organizaciones pueden obtener cierto consuelo de la posición del ICO durante la emergencia de salud actual, pero sería prudente mantener los estándares de protección de datos siempre que sea posible y no ver el enfoque del regulador como un "pase libre".
____________
¿Eres un experto reconocido en tu campo? En Euronews, creemos que todas las opiniones son importantes. Contactanos en [email protected] para enviar lanzamientos o presentaciones y ser parte de la conversación.