Las reglas de Safe Harbor se hicieron de mutuo acuerdo entre Estados Unidos y la Unión Europea con aplicación prioritaria en Estados Unidos por parte de las autoridades nacionales de protección de datos. Las Cláusulas de Contrato Estándar son términos contractuales alcanzados entre una Data Privacy Authority (DPA) nacional y cada entidad legal. Sin embargo, muchas compañías están al margen porque ambos enfoques pueden ser demasiado costosos o insuficientes para asegurar la conformidad.
Según un estudio del Ponemon Institute que es un punto de referencia sobre 68 corporaciones multinacionales que operan en Europa ya que es sujeto a una directiva de privacidad de la Unión Europea, 25 compañías están adoptando el enfoque de los contratos estándar, 6 compañías persiguen las reglas del Safe Harbor, 18 compañías están dando respuestas individuales a los países, y 19 no tienen clara la respuesta y puede que estén en no conformidad.
Otra opción—todavía en pañales—es el enfoque de la Binding Corporate Rules (BCR). Las compañías que lo adoptan pueden estructurar sus propia conformidad la iniciativa, que cubre a todas las entidades legales a través de múltiples jurisdicciones nacionales (que incluyen leyes nacionales de Asia-Pacific).
Un beneficio es que cuando el DPA en un país aprueba el BCR de la compañía, trabajará con DPAs de otros países para conseguir su aprobación. Los directores de la privacidad global están entusiasmados acerca de las posibilidades del BCR porque les permite armonizar los estándares de privacidad a través de su empresa corporativa y tener un mecanismo más eficiente para transferir flujos de datos. Sin embargo, las compañías que tienen la ruta del BCR deben desarrollar una conformidad que tenga que ver con la transparencia.
¿Estás preparado para el BCR?
El proceso actual de aprobación del BCR es lento y costoso. Hasta ahora, ninguna compañía multinacional ha logrado un estatus de aprobación a través de jusrisdicciones nacionales (pero es probable que esto ocurra rápidamente).
Antes de considerar el BCR, las compañías necesitan hacerse las siguientes preguntas:
• Evaluación – ¿Ha logrado la organización un análisis detallado para determinar si se ha tomado el camino adecuado? ¿Quiere la organización organizar el programa BCR según el tipo de datos (por ejemplo datos de los empleados frente a datos de los consumidores)?
• Creación de Código – ¿Tiene la organización la habilidad de crear un código de privacidad que abarque a toda la compañía y que pueda aplicarse en todo el mundo?
• Proceso de reglas vinculantes – ¿Tiene la organización una infraestructura de conformidad para detectar o prevenir actos de no conformidad o infracciones legales? ¿Y hay consecuencias legales si se infringen las propias reglas o política?
• Selección del DPA prioritario – ¿Tiene la organización acceso a uno o más DPAs que estén dispuestos a servir como enlace para otros DPAs?
• Definiciones legales – ¿Hay acuerdos legales para mantener a diferentes miembros de la organización (incluyendo filiales) para compromisos de conformidad?
• Conflictos reguladores – ¿Sabe la organización (o tiene la posibilidad de saber) de los conflictos reguladores que pudieran existir entre el BCR y la legislación de privacidad nacional?
• Responsabilidad compensatoria – ¿Proporciona el programa BCR un proceso objetivo para determinar la responsabilidad de la organización en el caso de una violación de la seguridad de los mismos?
• Estructura de gobierno – ¿Tiene la organización una estructura de gobierno que es suficiente para controlar y aplicar la conformidad? Y, ¿es esta estructura visible para la dirección?
• Presupuesto – ¿Hay suficientes recursos para implementar un programa BCR? Si fuera así, ¿hay una persona o grupo formal que sea responsable de gastar estos recursos?
• Planificación e inventario – ¿Tiene la organización un modo de identificar toda la información individual o de la entidad?
• Política y revelación – ¿Hay alguna política que pueda conseguirse por todos los accionistas clave, incluyendo empleados, clientes, reguladores y otros?
• Permiso – ¿Tiene la organización un proceso para capturar y cumplir con el permiso de los sujetos de los datos (esto podría ser opcional dependiendo del programa)?
• Seguro – ¿Tiene la organización una auditoría contable o proceso de verificación para evaluar la conformidad en curso? Y, ¿es este proceso de seguridad objetivo o independiente (especialmente a los ojos del DPA prioritario)?
• Seguridad – ¿Hay suficientes salvaguardias para proteger la información de los individuos y de las entidades?
• Reparación – ¿Tiene la organización un proceso para asegurarse de que todas las quejas son manejadas adecuadamente, incluyendo los procedimientos de escalada para los niveles de dirección altos?
• Conciencia y formación – ¿Tienen todos los empleados que manejan datos acerca de las personas y de las entidades un buen entendimiento de sus responsabilidades bajo el programa BCR?
Donde está el BCR hoy
Hasta ahora, solo un puñado de compañías multinacionales han logrado el estatus de aprobación dentro de un DPA nacional. La mayoría de las compañías que buscan aprobación están centradas en BCR documentos de los empleados primero (más que abordando los datos del empleado y del consumidor a la vez, en un programa total).
¿Animará el BCR a más compañías a dejar sus actividades secundarias para obedecer las leyes de flujo de datos? Claramente la aprobación de BCR es un trabajo en curso. Además, basado en nuestras prácticas de privacidad corporativas, que son un punto de referencia, muchas compañías están todavía en las primeras etapas de tener un programa de privacidad que ayude a manejar sus temas de conformidad doméstica.
El pensamiento de implementar un programa de privacidad global puede ser tentador. Sin embargo, creo que cuantas más compañías reciban aprobación para sus BCRs, la petición de tener un único plan de implementación para sus organizaciones, crecerá.
El Dr. Larry Ponemon es presidente y fundador del Ponemon Institute, localizado en Tucson, un gabinete estratégico dedicado a información ética avanzada y prácticas de dirección en los negocios. Es socio con Peppers & Rogers Group, una firma de asesoría de dirección estratégica, y es Profesor Adjunto de Ética y Privacidad en Carnegie-Mellon University y el CIO Institute.
Fuente: Darwin Magazine
www.darwinmag.com
Traducción: todomba.com
| < Prev | Próximo > |
|---|
A distancia 
Presencial 
