El Director Asociado de Política Comercial del ITIF (Information Technology & Innovation Foundation) analizó el informe Fomento y habilitación de políticas y entorno regulatorio en APEC para empresas que utilizan datos presentado en Chile en el mes de Septiembre.
Recientemente, se presentó en Chile el informe Fomento y habilitación de políticas y entorno regulatorio en APEC para empresas que utilizan datos, un informe desarrollado por Nigel Cory, que pone el foco en APEC, Foro de Cooperación Económica Asia-Pacífico, el foro multilateral que apunta a consolidar el crecimiento y la prosperidad de los países alrededor del Pacífico y que aborda temáticas como el intercambio comercial, la coordinación económica o la cooperación entre sus integrantes. Desde la Asociación Latinoamericana de Internet entrevistamos a Nigel Cory, quien profundizó sobre los detalles de dicho trabajo y expuso algunas recomendaciones para garantizar las mejores prácticas en términos de uso de datos personales.
– ¿Cuáles serían las mejores prácticas regulatorias para garantizar que las empresas hagan un buen uso de los datos de sus clientes?
– El primer paso es que los encargados de formular políticas reconozcan que los datos juegan un papel clave para las empresas, tanto en las industrias tradicionales como en las innovadoras. También deben comprender que el uso de datos para ciertas tecnologías y modelos de negocio proporciona beneficios para los consumidores. Por lo tanto, estos responsables de diseñar políticas deberían alentar una mayor utilización, ya que es crucial para impulsar la innovación y la productividad, lo que deriva en bienes y servicios nuevos y más baratos y mayores oportunidades para el comercio digital. En segundo lugar, la regulación debe diseñarse para atacar daños específicos y para permitir un uso beneficioso de los datos para la sociedad y la economía. Las políticas correctas disipan los malentendidos. Al contrario de lo que suele decirse, la mayoría de las empresas no comercializa datos personales, aunque sí vende a sus anunciantes acceso a los usuarios sin revelar la información personal. En tercer lugar, las normas y reglamentos deben ser claros. La incertidumbre genera un gran impacto en cómo las empresas usan (o deciden no usar) los datos.
– ¿Cómo pueden los gobiernos encontrar un equilibrio entre proporcionar seguridad y privacidad de los datos, por un lado, y fomentar el crecimiento de las empresas que tienen y usan esos datos, por el otro?
– Se debe analizar cada disposición bajo consideración como parte de los debates de políticas relacionadas con los datos, incluso a través de evaluaciones de impacto que utilizan métricas de efectividad y costos económicos. Es fácil crear leyes de privacidad más estrictas que restrinjan la capacidad de las empresas para recopilar y usar datos. Garantizar que promuevan objetivos como la innovación, la productividad y la competitividad es más complejo. Se necesita una comprensión clara de cómo se vería un marco de privacidad efectivo. De lo contrario, las nuevas reglas simplemente crearán costos más altos e incrementarán la incertidumbre, socavando la economía digital. Es clave trabajar hacia el equilibrio. Exigir a las empresas que minimicen los datos que recopilan o los propósitos para los que los recolectan restringe significativamente el descubrimiento de usos secundarios innovadores de los datos. Este tipo de límites hace que sea particularmente difícil para las empresas, por ejemplo, utilizar inteligencia artificial.
– ¿Qué son los enfoques intermedios y qué tan fáciles son de implementar?
– Los enfoques intermedios abordan un objetivo de política específico y legítimo, como la privacidad y la protección o el acceso regulatorio a los datos, al tiempo que permite maximizar su uso de formas innovadoras y su transferencia a través de las fronteras. Como los problemas relacionados con los datos son relativamente nuevos en muchos países, encontrar este punto medio consume tiempo y esfuerzo. Cada país aborda el problema desde una base y un nivel de desarrollo diferentes. Es importante que se estudie cuidadosamente cada disposición y ley y se sopese la evidencia disponible, los costos y los beneficios a medida que decidan su curso de acción. Para la privacidad, el mejor curso de acción son las políticas que abordan los daños concretos en lugar de los hipotéticos, que tienden a conducir a leyes innecesarias, onerosas y restrictivas (como la General Data Protection Regulation de la Unión Europea). Los países pueden utilizar los acuerdos comerciales para tender puentes entre diferentes sistemas de privacidad, de modo que cada parte reconozca que las responsabilidades legales se trasladan con los datos a donde sea que se transfieran, como en el Acuerdo Integral y Progresivo para la Asociación Transpacífica (CPTPP) o en el acuerdo de comercio entre Estados Unidos, México y Canadá. Por su parte, las agencias reguladoras pueden suscribir memorandos de entendimiento relacionados con la aplicación y acuerdos internacionales con sus contrapartes (como ocurre con APEC) para ayudar a coordinar los casos de aplicación.
– ¿Y en lo que respecta a ciberseguridad?
– En este punto habrá que alentar a las empresas a adoptar las mejores prácticas y tecnologías, como el cifrado, para garantizar la confidencialidad de sus datos. El foco debería ponerse en las prácticas a nivel de empresa, y no en dónde se almacenan los datos –un enfoque equivocado que adoptaron muchos países y que hasta es probable que debilite la seguridad cibernética de una organización-. El informe destaca cómo Estados Unidos y la Unión Europea hablan de ‘medidas técnicas’ o ‘medidas de vanguardia’ en sus leyes para referirse a las empresas que deben usar tecnología como el cifrado para proteger los datos.
– ¿Existe de momento algún caso de éxito?
– Singapur es un modelo a seguir: apoya el libre flujo de datos en sus leyes nacionales y acuerdos comerciales y reconoce explícitamente la innovación en su legislación de privacidad de datos. Propuso enmiendas a su ley de protección de datos para que las empresas puedan usar los datos personales legalmente para “fines de innovación empresarial”, incluyendo mejoras en la eficiencia operativa y en el servicio, el desarrollo de productos y servicios y la obtención de más información sobre los clientes. En estos casos, las empresas no necesitan notificar ni solicitar consentimiento de las personas. México también hace muchas cosas bien. Como es miembro del CBPR de APEC, tiene disposiciones sobre flujo y privacidad de datos en sus acuerdos comerciales. Estados Unidos está comenzando a implementar un modelo exitoso que podría ser replicado en el acceso de la policía a datos almacenados en el extranjero. Los procesos legales actuales se basan en tecnologías anteriores a Internet, lo que significa que son anticuados e ineficientes. Esto obstaculiza las investigaciones policiales. Estados Unidos actualizó su legislación nacional para que el Departamento de Justicia negocie procedimientos legales nuevos y más eficientes (los acuerdos CLOUD ACT) para ayudar a las agencias de aplicación de la ley (de ambos países involucrados) a solicitar los datos que necesitan como parte de investigaciones legítimas.
– ¿Cuál es el papel de APEC en este tema?
– APEC organizó el proyecto. Para completarlo, entrevisté a empresas de Canadá, Chile, México y Estados Unidos como parte de capítulos sobre cómo las leyes y las regulaciones relacionadas con los datos afectaron (tanto positiva como negativamente) su capacidad para usar datos y participar del comercio digital. Participaron 39 empresas de 12 economías, con capítulos sobre inteligencia artificial (involucró a una empresa de México), facturas electrónicas y servicios de contabilidad (una de Chile), servicios de encriptación y servicios de pago.