Protección de Datos en Estados Unidos: ¿Cómo afecta a tu negocio?

¿Cómo es la protección de datos personales en Estados Unidos?

La protección de datos en Estados Unidos es un escenario complejo. Por un lado, porque, a ojos europeos, los estándares de protección de información personal siempre han sido más laxos, más aún desde que entró en vigor el RGPD. Por otro lado, porque en Estados Unidos las normas y reglas para el tratamiento de datos varían entre estados, lo que implica diferentes niveles de seguridad y exigencias dependiendo de dónde opere cada empresa.

Hace nos años la protección de datos en Estados Unidos volvió a saltar a las portadas cuando Donald Trump firmó una ley para permitir a los proveedores de servicios de Internet (ISP) vender datos de los consumidores sin consentimiento previo, invalidando así una norma impulsada por Obama que dictaba lo contrario. Aunque las empresas de Internet como Facebook y Google ya tenían acceso a este tipo de información y recopilaban datos de los consumidores sin tener que pedir permiso, ahora los ISP pueden ir más allá y acceder a la información completa sobre todos los sitios web que visita un consumidor.

La Comisión Federal de Comunicaciones (FCC, una agencia independiente del gobierno de EE. UU.) apoyó la decisión de invalidar esta parte del plan de la era Obama para regular Internet. Según Ajit Pai, su nuevo director, la normativa impulsada por Trump favorecería que la competencia en el mundo digital fuera más equilibrada.

Sin embargo, defensores de los derechos de Internet, incluidos el ex-presidente del FCC, se mostraron indignados por esta ley, que tacharon de norma para beneficiar a las corporaciones frente a los internautas.

Por otro lado, la FCC también declaró en su momento que colaboraría con la Comisión Federal de Comercio para devolverle su poder de vigilancia en Internet y dejar que “el mayor experto en privacidad de Estados Unidos vuelva a tomar las riendas”.

Cambios en las políticas de protección de datos en los diferentes estados

A pesar de que se ha empezado ya a trabajar en diseñar el marco legislativo que regulará la recogida y el tratamiento de datos en Estados Unidos, a nivel federal, lo cierto es que las últimas noticias han llegado directamente desde los estados.

Obviamente, la gran diferencia entre Estados Unidos y la Unión Europea radica en las competencias a la hora de legislar, que en el caso de Europa recaen sobre el Parlamento Europeo y en el caso de Estados Unidos compete a los estados.

Lo que esto provoca es que, mientras que en la UE contamos con “una norma para gobernarlos a todos” (no podíamos resistirnos…), en EE. UU. cada estado cuenta con su propia legislación de protección de datos a la que debe acogerse.

A raíz de la aprobación del RGPD, y las presiones desde Europa por un endurecimiento de las normativas, varios estados modificaron sus leyes o introdujeron cláusulas nuevas. Sin embargo, el gran cambio llegó en verano de 2018, cuando California aprobó el California Consumer Privacy Act (CCPA), una norma inaudita en Estados Unidos por imponer, por primera vez, niveles de protección de datos muy similares a los presentes en el RGPD.

Más estados han tomado medidas para actualizar su legislación en este respecto, y se espera que mucho más les sigan.

¿Cómo afectan las normas de protección de datos entre EE. UU. y la UE?

Como seguro que ya sabes, porque no nos cansamos de hablar de ello, toda empresa que recopile datos de ciudadanos de la Unión Europea debe cumplir con lo estipulado en el Reglamento General de Protección de Datos, que entró en vigor el 25 de mayo de 2018.

Antes de la llegada del RGPD, la transferencia de datos entre Estados Unidos y la Unión Europea estaba regulada por un tratado conocido como el Privacy Shield, que ofrecía a las empresas una forma de auto-certificarse anualmente para garantizar el cumplimiento de una serie de normativas de protección de datos.

Hoy en día, sin embargo, la adecuación del Privacy Shield al RGPD ha quedado invalidada por la sentencia del Tribunal Superior de Justicia Europeo (TJUE) de julio de 2020. Se está trabajando en el Marco Transatlántico de Privacidad de Datos (TDPA, por sus siglas en inglés), pero aun no está en marcha, por lo que el RGPD sigue siendo la referencia en cuanto a transferencias de datos internacionales UE-EE. UU.

¿Quieres conocer la historia de Privacy Shield?

Hemos hablado bastante de Privacy Shield en el blog de Mailjet. Su predecesor, Safe Harbor, se invalidó el 6 de octubre de 2015. De hecho, antes de que entrara en vigor el Reglamento General de Protección de Datos, Privacy Shield solía ser una fuente habitual de noticias (y algo de drama) en lo relativo a la transferencia de datos a nivel internacional.

Aquí tienes un repaso cronológico a las idas y venidas entre EE. UU. y la Unión Europea en materia de protección de datos:

• Octubre de 2015: ¿Qué es Safe Harbor y cómo puede afectar a tu negocio?

• Marzo de 2016: ¿Es Privacy Shield el futuro de Europa?

• Abril de 2016: Privacy Shield: Trabajo en construcción

• Agosto de 2016: Privacy Shield: Nuevo capítulo en la protección de datos personales en Europa

• Julio de 2020: La Privacidad importa: garantizamos la seguridad de tus datos

• Agosto de 2022: La realidad de la normativa de protección de datos entre la UE y Estados Unidos y su cumplimiento

También te puedes suscribir a nuestra newsletter para enterarte antes que nadie de las novedades en materia de protección de datos.

¿Cómo pueden asegurarse las empresas de estar cumpliendo con las normativas?

Desde la llegada del RGPD, la respuesta a esta pregunta es más sencilla de lo que pueda parecer. Independientemente de dónde se encuentre tu negocio, si tu empresa recoge o trata información personal de ciudadanos de la Unión Europea, es imprescindible que cumpla con los requerimientos del Reglamento General de Protección de Datos.

Uno de los puntos más importantes para estar en conformidad con el RGPD es trabajar con proveedores externos que también puedan garantizar su cumplimiento. Echa un vistazo a la política de privacidad de tus proveedores externos (deberías poder encontrarla en su sitio web) para ver cómo tratan y almacenan tus datos personales.

¿Cómo puede ayudarte Mailjet?

En el caso de tu ESP, trabajar con proveedor europeo te ayudará a asegurar el máximo nivel de seguridad. Mailjet, por ejemplo, cuenta con unas Condiciones Generales de Uso y una Política de Envíos a los que tendrás que ceñirte para poder enviar tus emails. Puede que esto te parezca un tostón, pero cumplir con la legislación de datos te beneficia como empresa.

Además, Mailjet fue la primera empresa en el mundo en recibir la certificación AFAQ de AFNOR, que garantiza el cumplimiento de los principios fundamentales del RGPD. Además, Mailjet cuenta con las certificaciones ISO 27001 e ISO 27701, que aseguran el máximo nivel de seguridad.

Si quieres estar al tanto de las novedades en materia de protección de datos, pero no quieres consultar la prensa todos los días, suscríbete a nuestra newsletter y te mandaremos todas las actualizaciones que os afectan a ti y a tu empresa.

¿Quieres compartir tus dudas y lo que has aprendido acerca de la protección de datos? Escríbenos por Twitter y cuéntanoslo.

***

Esta es una versión actualizada del artículo Protección de Datos en Estados Unidos: ¿Cómo afecta a tu negocio?, publicado por Beatriz Redondo Tejedor en el blog de Mailjet el 1 de febrero de 2019.