Thursday, October 11, 2018

¿Por qué el reconocimiento de los CBPR (Cross Border Privacy Rules) en la USMCA es un desarrollo significativo para la privacidad?


El 30 de septiembre, representantes de los Estados Unidos, México y Canadá concluyeron las negociaciones y publicaron el texto final de un Acuerdo de Libre Comercio de América del Norte revisado conocido como el Acuerdo de los Estados Unidos, México y Canadá. Si bien USMCA aún requiere la aprobación de las legislaturas de cada una de las naciones miembros del tratado, la implementación final marcaría desarrollos significativos para la privacidad de los datos, el libre flujo de datos y el futuro del sistema de Reglas de Privacidad Transfronterizas de APEC.

Entre las actualizaciones más importantes en USMCA está la inclusión de un capítulo de comercio digital. El artículo 19.11 de este capítulo generalmente prohíbe la restricción a la transferencia transfronteriza de información personal entre los tres países, pero permite que se impongan dichas restricciones cuando sea necesario para lograr un "objetivo legítimo de política pública" siempre que se aplique de manera justa. De esta forma manera no se restringiría la transferencia de información más de lo necesario para lograr ese objetivo. Además, el Artículo 19.8 (6) establece específicamente que las partes "reconocen que el sistema de Reglas de Privacidad Transfronterizas de APEC es un mecanismo válido para facilitar las transferencias de información transfronterizas al tiempo que protege la información personal".

En conjunto, estos dos párrafos parecen indicar que cada país puede implementar nuevas leyes de privacidad que incluyen restricciones a la transferencia de datos siempre que no se apliquen de manera discriminatoria y que continúen reconociendo a los CBPR como un mecanismo viable para la transferencia de datos. Este reconocimiento garantiza que las empresas participantes puedan seguir utilizando los CBPR como un mecanismo de transferencia a medida que se desarrollen las leyes de privacidad en los tres países en los próximos años.

El Sistema de Reglas de Privacidad Transfronterizas de APEC (CBPR) fue desarrollado por las economías de APEC con aportes y asistencia de la industria y la sociedad civil para fomentar la confianza de los consumidores, las empresas y los reguladores en los flujos de información personal entre las fronteras. El sistema APEC CBPR requiere que las empresas participantes implementen políticas de privacidad de datos coherentes con el Marco de privacidad de APEC. Estas políticas y prácticas deben ser evaluadas para cumplir con los requisitos del programa APEC CBPR por un Agente de Responsabilidad (una entidad del sector público o privado reconocida por el sistema APEC) y deben ser exigibles por ley. 

Resultado de imagen para Cross-Border Privacy Rules (CBPR)











Por otro lado las reglas corporativas vinculantes o "BCR" (por sus siglas en Ingles, Binding Corporate Rules) fueron desarrolladas por el Grupo de Trabajo del Artículo 29 de la Unión Europea para permitir que corporaciones multinacionales, organizaciones internacionales y grupos de empresas realicen transferencias dentro de la organización de datos personales a través de las fronteras de conformidad con la Ley de Protección de Datos de la UE. Los BCR se desarrollaron como una alternativa al Departamento de Comercio de EE. UU. Puerto Seguro de la UE (que fue solo para organizaciones de EE. UU., Pero se declaró inválido y fue reemplazado por los Marcos de Escudos de Privacidad de EU-EE. UU. y Suiza-EE. UU.) Y las Cláusulas de Contrato Modelo de la UE.
Resultado de imagen para Binding Corporate Rules (BCR) 
El ver reflejado CBPR en el USMCA marca el segundo hito importante para el sistema en la misma cantidad de años, luego del reconocimiento por parte de Japón de 2017 de los CBPR como un mecanismo de transferencia válido según su ley de privacidad actualizada. Si este lenguaje se incorporara en un posible TLC entre EE. UU. y Japón, se crearía una red "trilateral más una" que podría servir de base para una mayor expansión y reconocimiento en ambos hemisferios.

La USMCA también contempla la cooperación futura en asuntos de privacidad entre las naciones signatarias. El Artículo 19.14 establece que “reconociendo la naturaleza global del comercio digital, las Partes se esforzarán por ... cooperar y mantener un diálogo sobre la promoción y el desarrollo de mecanismos, incluidas las Normas de privacidad transfronterizas de APEC, que fomenten la interoperabilidad mundial de la privacidad. los regímenes ... [y] considerarán el establecimiento de un foro para abordar cualquiera de los temas enumerados anteriormente, o cualquier otro asunto relacionado con el funcionamiento de este capítulo ".

Este lenguaje podría usarse para establecer un Foro de Privacidad de América del Norte compuesto por reguladores y funcionarios gubernamentales de los países participantes con el fin de promover colectivamente el entendimiento común y los intereses compartidos en asuntos relacionados con la privacidad de los datos. Y si este lenguaje se repitiera en un posible TLC entre EE. UU. Y Japón, también sería posible extender la participación a los funcionarios japoneses.

Dada su inclusión en la USMCA, es importante resaltar cómo CBPRs afecta las leyes en cada país. Críticamente, la participación del CBPR no desplaza ni puede desplazar la ley local. Este principio se reconoce explícitamente en el párrafo 44 de las Políticas, Reglas y Directrices de APEC, que estipula que “la articulación en el Sistema CBPR no reemplaza las obligaciones legales internas de una organización participante. Los compromisos que una organización lleva a cabo para participar en el Sistema CBPR están separados de cualquier requisito legal nacional que pueda ser aplicable. Cuando los requisitos legales nacionales excedan lo que se espera en el sistema de CBPR, se seguirá aplicando toda la extensión de dicha ley y regulación doméstica. Donde los requisitos del Sistema CBPR superen los requisitos de las leyes y regulaciones nacionales, una organización deberá cumplir voluntariamente dichos requisitos adicionales para poder participar ".

Como queda claro, la participación del CBPR está diseñada específicamente para dar cabida a obligaciones adicionales conforme a la ley, incluidas las que se pueden adjuntar como condición de una determinación de adecuación. Este concepto se refleja aún más en la Referencia BCR-CBPR, cuyo objetivo era "facilitar el diseño y la adopción de políticas de protección de datos personales que cumplan con cada uno de los sistemas".

Con el reconocimiento del sistema CBPR, el USMCA ha consagrado un enfoque flexible que puede acomodar requisitos adicionales a nivel local con procedimientos fijos para la participación y el reconocimiento a nivel global. Y mientras que la certificación según los CBPR o cualquier otra norma no debe ser el único mecanismo de transferencia disponible, dados sus atributos únicos, es fundamental que siga siendo una opción viable tanto en los acuerdos comerciales como en las regulaciones en el futuro.


Saturday, October 15, 2016

La importancia de enfrentarse a un público. ¿un trabajo de casa o de los sistemas educativos?

Tuve la oportunidad de estar en el ITESM CEM el pasado lunes 26 con alumnos de ultimo semestre en un ejercicio muy interesante de practica profesional en grupo.
Una de las cosas que más me impresiono, y que pocos colegios trabajan, es el desarrollo de capacidades para presentar sus ideas y conceptos a expertos.
Enseñamos en las escuelas conceptos de aprendizaje, pero pocas veces enseñamos las capacidades de exponer y mostrar las ideas de conceptos, los aspectos más sencillos como atraer la atención de la gente, usar tonos de voz correctos, usar sus manos de forma correcta, usar el tiempo que se le das sin limitarse, ni sobrepasarse en el mismo. El lenguaje no verbal, la postura en la que se presentan o el manejo de situaciones que los ponen nerviosos. 
La reflexión que obtuve de este ejercicio es que la capacidad de análisis, síntesis y exposición es un área de oportunidad para nuestros jóvenes universitarios 
¿Estas capacidad deberían ser enseñadas en casa o en las universidades o desde las preparatorias?
Me hubiera encantando que los jóvenes fueran grabados y que ellos y sus padres pudieran ver como se presentan; para mi hubiera sido una experiencia transformadora y seguramente también lo hubiera sido para mis padres; no solo por la belleza de compartir un momento así, sino por la gran retroalimentación que significa el verse en un ambiente profesional.

Los alumnos que vi, eran alumnos de ultimo semestre, pero me pregunto si este ejercicio no debería ser un ejercicio que se trabajara desde que los niños inician su proceso formativo.

Friday, May 15, 2015

México, rezagado en seguridad de datos

“Comparado con países como Estados Unidos, México está casi 5 años retrasado en la cultura de protección de información y datos personales”, dijo Juan Carlos Carrillo, representante en el país del área de Seguridad de la firma Oracle.
“En México, la mayoría de las empresas consideran que las inversiones en el área de Tecnologías de la Información (TI) son una disminución en sus presupuestos que no reporta beneficios”, comentó Carrillo.
El integrante de la firma Oracle añadió: “La única variable que provoca que las compañías inviertan en tecnología de seguridad es un tema de cumplimiento regulatorio como el que exigen diferentes organismos como el Instituto Federal de Acceso a la Información y Protección de Datos, que implementó legislaciones que obligan a las empresas a proteger los datos personales de sus clientes”.
De acuerdo con reportes del Instituto Nacional de Estadística y Geografía (INEGI), en 2014 México tenía 5.6 millones de empresas, de ellas, las correspondientes al sector financiero (que en porcentaje representan una minoría) son las únicas que cumplen de manera satisfactoria con las regulaciones en materia de seguridad.
“Es muy difícil que fuera de ese sector encuentres un proyecto bien armado de seguridad de la información. La mayoría de las compañías solo actúan cuando se dan cuenta que su información fue sustraída. Entonces sí responden con una inversión fuerte, pero sin un plan de largo plazo, por lo que al siguiente año lo dejan de lado”, explicó Carrillo.
Dijo que a pesar de que desde hace cinco años se encuentra vigente la Ley de Protección de Datos Personales en Posesión de Particulares, las empresas todavía no la cumplen en su totalidad. Al respecto, el especialista aseguró que es mejor invertir de manera preventiva en temas de resguardo de información, ya que varios estudios demuestran que por cada dato sustraído, las empresas pierden en promedio 200 dólares.


http://www.eluniversalqueretaro.mx/vida-q/08-05-2015/mexico-rezagado-en-seguridad-de-datos#sthash.8sXmpngR.dpuf