La semana pasada fue aprobada en Estados Unidos la “American Data Privacy and Protection Act’’. Se trata de la primera ley de carácter federal que regula la recogida y tratamiento de datos en este país.
En un principio, esta norma ha sido creada para proporcionar a los ciudadanos las herramientas necesarias para salvaguardar sus datos personales; devolviéndoles el control de los mismos e imponiendo unas salvaguardas legales hasta ahora casi inexistente. Sin embargo, ¿esto es así? A continuación procedemos a analizar brevemente las diferentes obligaciones recogidas en la norma.
Deber de lealtad
Establece una serie de principios que deben ser seguidos por aquellas entidades que traten datos personales. Al igual que en la legislación europea, los principios deben ser la base que rija el uso de este tipo de información. No obstante, estos son más limitados que los dispuestos por el Reglamento General de Protección de Datos (RGPD):
- Minimización de datos. En el mismo sentido que el RGPD.
- Principio de lealtad. Al contario que el RGPD, no establece bases legitimadoras que permitirán el tratamiento de datos personales; sino que recoge limitaciones al tratamiento en determinadas ocasiones.
- Privacidad desde el diseño. En el mismo sentido que el RGPD.
- Lealtad en el precio. Se prohíbe condicionar la prestación de un servicio o el precio del mismo al otorgamiento de datos personales.
Datos de los interesados
Se declara el derecho de los ciudadanos a conocer sobre el tratamiento de sus datos personales en el momento de su recogida; reconociendo además los derechos de acceso, rectificación, oposición, supresión y portabilidad de los datos. Adicionalmente, se refuerza la autonomía de los interesados por medio de disposiciones relativas al consentimiento, datos de menores, comunicaciones y acciones comerciales…
Además, dispone la obligación de implementar las medidas de seguridad (administrativas, técnicas y físicas) necesarias para evitar los accesos no autorizados; siendo estas más laxas en el caso de pequeñas organizaciones.
Responsabilidad corporativa
Las entidades obligadas deben implantar los controles necesarios para cumplir con las disposiciones de la norma. Destacan tres figuras:
- Data Privacy Officer. Se trata de la figura de nuestro Delegado de Protección de Datos.
- Data Security Officer, encargado de las medidas de seguridad a implementar.
- Política de cumplimiento, orientada a asegurar el cumplimiento de la norma dentro de cada organización.
A pesar de que esta norma constituye un primer paso para la efectiva garantía de los datos personales en Estados Unidos; desde UBT Legal & Compliance consideramos que no es suficiente para alcanzar un nivel de protección ni siquiera similar al impuesto por el RGPD. No obstante, se prevé la creación de normativa de desarrollo durante los dos próximos años, por lo que debemos estar atentos.