Su startup no está lista para la reestructuración de la privacidad europea



Durante décadas, la gente ha proclamado el ahora común estribillo de que «la privacidad está muerta». A menudo pienso en Scott McNealy, entonces director ejecutivo de Sun Microsystems, cuando afirmó en 1999 que «de todos modos, no tienes privacidad … supéralo».

No iría tan lejos como para decir que los líderes de las nuevas empresas tienen un desprecio tan fuerte por la privacidad, pero encuentro que muchos adoptan la postura de que las leyes de privacidad de datos más estrictas del mundo no se aplican a ellos. Si entra en esta categoría, debe saber que la privacidad no está muerta y que una nueva era de privacidad se está introduciendo silenciosamente en toda Europa.

A principios de este año, la Comisión Europea (CE) emitió su tan esperada actualización de «Cláusulas contractuales estándar» (SCC), que representa el mecanismo más utilizado para transferir los datos personales de sus clientes fuera de la UE, incluidos los EE. UU.

Si tiene una empresa que opera en Europa o con ella, estas nuevas actualizaciones, y el panorama de la privacidad en constante cambio en general, son importantes. Si se sigue incorrectamente o no se toma en serio, puede ser extremadamente costoso.

Por lo tanto, veamos algunas de estas nuevas actualizaciones de privacidad con más detalle y luego compartiré algunas lecciones que aprendí mientras trabajaba en problemas de privacidad en una startup que procesa grandes cantidades de datos de usuarios.

Una nueva era de privacidad y la letra pequeña que probablemente te perdiste

La cuestión de dónde existen sus datos y quién tiene acceso a ellos se está convirtiendo en una de las cuestiones más complejas y significativas en el terreno de las startups.

Por un lado, el ecosistema de inicio de SaaS en auge significa que ahora dependemos más que nunca de la nube, donde los servidores a menudo residen en el extranjero. Por otro lado, existen derechos de datos regionales en constante cambio a medida que las diferentes jurisdicciones adoptan los derechos de soberanía y privacidad de los datos para los usuarios.

Esta fricción ha llegado a los tribunales, y el año pasado la UE emitió una decisión(apodado «Schrems II») que invalidaba el «Escudo de privacidad, «O el mecanismo que se estaba utilizando para sacar datos de Europa y enviarlos a los centros de datos estadounidenses para su procesamiento. Luego vino la actualización de los SSC.

La premisa básica de esta actualización fue incorporar nuevos SCC para regular la transferencia de datos personales de la UE a terceros países, diseñados para proteger mejor a los europeos de la vigilancia masiva, específicamente una preocupación con respecto a los EE. UU.

Si opera o hace negocios con residentes europeos, los flujos de datos internacionales son probablemente una parte esencial de su negocio en una economía global cada vez más digital. Es posible que ni siquiera sepa que su producto digital se basa en microservicios de un socio que ve los datos del usuario procesados ​​en un tercer país.

Tomemos, por ejemplo, nuestro producto en Mixpanel. Ofrecemos tecnología de análisis de productos basada en SaaS que, por su naturaleza, rastrea el comportamiento del usuario dentro de las aplicaciones para que los expertos en productos puedan mejorar la experiencia del usuario.

Si utiliza nuestro producto, hasta hace poco nos habría estado enviando datos que se procesaron en los EE. UU., Quizás sin darse cuenta completamente de las implicaciones. Ahora tenemos la residencia de datos completa en la UE para solucionar este problema, pero somos una minoría.

Y este debería ser el problema número uno con respecto a las nuevas empresas. ¿Se ha ampliado enormemente nuestra superficie de responsabilidad y riesgo? Si lo digo en términos más simples: eres una fintech que tiene contratos con siete empresas que brindan servicios a través de API. Esas siete empresas también tienen contratos con otras 10 empresas cada una, lo que ahora significa que su superficie de riesgo se ha expandido de siete empresas a 70.

Entonces, ¿qué pueden hacer las empresas emergentes ocupadas para reducir su riesgo y asegurarse de que están cumpliendo con las obligaciones de privacidad de las personas que utilizan sus servicios?

En mi opinión, hay tres reglas de oro que pueden ayudar a una startup a navegar por esta complejidad.

  1. Ubique los datos del usuario en Europa siempre que sea posiblele: Dependiendo de su infraestructura y capacidad de inversión, deberá formarse un juicio sobre si puede garantizar que los datos de sus usuarios se almacenen y procesen exclusivamente en Europa.
  2. Mantenga siempre una «ma de datospag’: Es vital realizar una «auditoría» de los microservicios y los servicios de soporte auxiliares que sustentan sus principales productos. Al hacerlo, puede comprender mejor ese ecosistema de datos y su riesgo que surgen a través de proveedores externos.
  3. Buscar entidades legales europeas como sociors: Es posible que las autoridades de EE. UU. Pudieran acceder a datos que se encontraban en los Países Bajos, pero que eran operados por una empresa con sede en EE. UU. La parte contratante es importante, por lo que es importante asociarse con entidades legales en diferentes operaciones regionales con sede en la UE.

Simplemente no hay forma de evitar este problema a largo plazo. Las personas se preocupan cada vez más por la privacidad de los datos y, con los cambios en los SCC, la UE ha señalado aún más la importancia que otorga a la residencia de los datos. Con los reguladores locales que pronto darán a conocer su orientación e interpretación dentro de los estados miembros, ahora es el momento de actuar.

El movimiento para mejorar la privacidad no está muerto, solo está comenzando.



Fuente: TNW

Compartir:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para fines de afiliación y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver Política de cookies
Privacidad