Por qué debilitar GDPR ahora sería un mal movimiento para la privacidad de los datos
A principios de este año, la Comisión Europea propuso un paquete de simplificación GDPR como parte de la iniciativa Omnibus IV más amplia, diseñada para aliviar la carga de cumplimiento para las llamadas pequeñas empresas de mediana capitalización.
Según las reglas actuales, empresas con menos de 250 empleados Puede estar exento de mantener registros detallados de las actividades de procesamiento de datos, pero solo si su procesamiento es ocasional, no implica categorías especiales de datos y es poco probable que represente ningún riesgo para los derechos de las personas. En la práctica, esta exención rara vez se puede usar.
Director de Gobierno, Riesgo y Cumplimiento en Vanta.
La nueva propuesta ampliaría la exención a las empresas con hasta 750 empleados y relajaría simultáneamente el umbral de riesgo, aplicándolo solo a las empresas que participan en el procesamiento de datos de “alto riesgo”. Las estimaciones indican que este cambio significaría 38,000 pequeñas capas medias en la UE enfrenta obligaciones simplificadas de GDPR.
Como los responsables políticos de la UE consideran facilitar el cumplimiento del GDPR para las empresas más pequeñas, los detalles de la simplificación propuesta merecen un escrutinio más cercano. Usando empleado El personal de cabeza como el criterio de exención o simplificación es fundamentalmente defectuoso y corre el riesgo de socavar las protecciones vitales que el GDPR proporciona en la era digital.
No solo eso, sino que reduce el umbral de riesgo de ‘cualquier riesgo’ a ‘alto riesgo’ significa que las empresas pueden manejar datos moderadamente riesgosos y aún estar exentos.
Evaluar la carga de cumplimiento actual
Antes de considerar debilitar el GDPR, vale la pena reflexionar sobre su valor. Introducido por primera vez hace más de 7 años, GDPR continúa sirviendo como el estándar global vital para privacidad Protección, que es especialmente crítica para mantenerse intacta con la creciente adopción y riesgo de IA.
La regulación ha demostrado ser efectiva para salvaguardar los derechos de privacidad en todo el mundo y para ayudar a evitar las principales pérdidas de delitos cibernéticos (hasta 1.400 millones de euros, según CNIL).
Las intenciones de una simplificación propuesta son positivas. Para muchas pequeñas y medianas empresas, navegar los requisitos regulatorios complejos puede sentirse abrumador, especialmente sin equipos o recursos de cumplimiento dedicados.
De hecho, la investigación revela que se dedican 11 semanas de trabajo al año en tareas de cumplimiento, aumentando en una semana año tras año. Esto se hace eco de los hallazgos del estudio de cumplimiento global de PwC de que un alarmante 85% de las organizaciones dicen que los requisitos de cumplimiento se han vuelto más complejos en los últimos tres años.
Por lo tanto, simplificar las obligaciones puede parecer una forma efectiva de fomentar la innovación y reducir las cargas administrativas, pero cualquier cambio en GDPR debe equilibrar las necesidades de las empresas con el imperativo de proteger la privacidad individual.
Eliminar los requisitos de cumplimiento al personal no logra ese equilibrio, y tampoco refleja los riesgos de privacidad del mundo real.
Métricas más inteligentes para una política más inteligente
En pocas palabras, el recuento de empleados proporciona una indicación mínima del riesgo real que plantea las actividades de procesamiento de datos de una empresa. Las empresas podrían manipular fácilmente su personal confiando en contratistas externos, evadiendo así el escrutinio de GDPR.
Además, en la economía digital actual, los pequeños equipos pueden operar plataformas globales que procesan grandes cantidades de información confidencial. El creciente impacto de la IA en todas las industrias, que los equipos más pequeños hacen más y van más allá, los registradores de los que se convierten en una métrica aún más anticuada.
Asumiendo un más pequeño nómina de sueldos significa un menor riesgo de privacidad ignora cuántas empresas modernas funcionan y cómo es probable que funcionen en el futuro.
Para crear un marco de cumplimiento más proporcionado y efectivo, los formuladores de políticas deben mirar más allá de solo el personal. Si bien la propuesta excluye correctamente a las empresas que participan en el procesamiento de alto riesgo de las obligaciones simplificadas, muchos riesgos del mundo real caen entre “bajos” y “altos”, por lo que existe la necesidad de métricas más matizadas y efectivas.
Por ejemplo, el volumen de datos procesados o los ingresos de la empresa. Factores como estos capturan mejor el riesgo de privacidad real y deberían desempeñar un papel más central en la determinación de cuándo la simplificación es apropiada, sin crear lagunas problemáticas.
La privacidad es una responsabilidad compartida
Las regulaciones de privacidad ciertamente no deberían castigar la innovación, pero tampoco deberían otorgar exenciones generales que pongan en peligro los derechos de las personas. En última instancia, las propuestas para debilitar el ancho de banda de GDPR corren el riesgo de erosionar las protecciones de privacidad en un momento en que se necesitan más.
Las tecnologías de IA en rápida evolución tienen el potencial de poner en peligro aún más las protecciones de privacidad y, por lo tanto, debemos pensar mucho sobre cualquier cambio que debilite tales defensas. Esto incluye reevaluar no solo quién califica para exenciones basadas en el tamaño, sino cómo definimos y evaluamos el riesgo en primer lugar.
A medida que los datos se vuelven más vulnerables, proteger la privacidad es cada vez más una responsabilidad compartida. El enfoque debe mantenerse en el fortalecimiento de las protecciones y proporcionar un apoyo inteligente y proporcionado para empresas de todos los tamaños. El futuro de la privacidad depende de ello.
Enumeramos los mejores cursos de ciberseguridad en línea.
Este artículo fue producido como parte del canal de Insights Expert de TechRadarpro, donde presentamos las mejores y más brillantes mentes de la industria de la tecnología en la actualidad. Las opiniones expresadas aquí son las del autor y no son necesariamente las de TechRadarpro o Future PLC. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro
