El sistema CBPR nace como respuesta a dos necesidades: ampliar las oportunidades comerciales de las organizaciones que operan en los países miembros del foro Asia Pacífico (APEC), y reducir los costos operativos derivados de realizar un tratamiento de datos personales ajustado a las diferentes normas de cada país; es por ello que el CBPR se constituye como un estándar ajustado al comercio internacional de bienes y servicios.
En forma simple, el CBPR (Cross-Border Privacy Rules) es un sistema que establece tanto reglas de privacidad como un modelo de verificación de cumplimiento; siendo esto último lo que facilita que sea certificable. Las reglas establecidas por el CBPR, en su totalidad están alineadas con el marco de privacidad APEC, el cual esencialmente obliga a toda organización nacional o extranjera que opere en cualquiera de los 21 países miembros a cumplir con diferentes estándares para el tratamiento de datos personales, ello si se quieren aprovechar los beneficios de comercio transfronterizo de la alianza.
Lo diferente, con respecto al mismo marco de privacidad APEC, es que el sistema CBPR establece que los procesos de tratamiento de datos personales tienen que ser evaluados antes que se concreten las operaciones transfronterizas; en este sentido el país que adopta el CBPR va más allá de aceptar el marco de privacidad APEC, pues para él no será suficiente el compromiso de cumplimiento por parte de la organización, sino que se necesitará que esa misma organización demuestre su cumplimiento a través de una certificación de un organismo autorizado.
Para entender la razón de por qué se crea el sistema CBPR analizaremos un ejemplo que permita observar cómo se desarrollan las acciones sin este sistema:
En el caso propuesto dos países participantes en el comercio transfronterizo realizan sus actividades comerciales bajo los principios de privacidad de la APEC, ello puesto que ambos son miembros activos de ese foro económico. Así las cosas, se entiende que una organización en su respectivo país deberá esforzarse en cumplir las reglas, estando dispuesto a asumir sus responsabilidades frente a los habitantes la otra nación.
Pero, ¿qué sucede si la organización incumple las normas de privacidad o no asume sus responsabilidades? Aquí se sabe que serán las entidades de control de cada país las encargadas de intervenir y realizar las investigaciones correspondientes para así corroborar si la situación recae sobre el responsable de tratamiento, de esa manera el organismo de control podrá promulgar una sanción proporcional al incumplimiento cuando esta aplique y/o podrá ordenar realizar los ajustes que sean necesarios para que una situación anómala no se vuelva a presentar.
¿Y qué del Titular? – Desde su perspectiva el proceso investigativo tomará un tiempo, dado que se necesitarán hacer pesquisas y practicar auditorías, por lo que el perjuicio persistirá mientras eso ocurre. Además, a pesar que el resultado concluya con el hallazgo de la causa de una infracción, por ejemplo un mal diseño de un procedimiento de captura y uso de los datos, la afectación irremediablemente estará materializada.
Lo contrario ocurre cuando se acude al sistema CBPR, en ese caso la organización no solo manifestará su compromiso de cumplir el marco normativo APEC, sino que lo sustentará con una certificación de un organismo acreditado; ello conducirá a que el Titular tenga la certeza que la empresa con la que tiene relaciones comerciales tiene un programa de protección de datos personales, y que sus políticas y procedimientos están alineados efectivamente con los principios APEC, lo que garantizará que trate de forma eficiente y precisa los datos personales que quedan a su cuidado.
Lo anterior explica por qué algunos países miembros de APEC (Australia, Canadá, Estados Unidos, Japón, México, Corea del Sur, Singapur y Taiwán), a pesar de contar con un marco normativo que garantice la privacidad decidieron adoptar e CBPR como norma; pues, las relaciones se sustentan en confianza más que en buenas intenciones.
En resumidas cuentas el CBPR se centra en verificar y analizar 7 aspectos dentro de la organización que considera fundamentales:
- Operación bajo estándares en los diferentes procesos de tratamiento
- Existencia de medidas de seguridad basadas en el riesgo de tratamiento
- Manejo efectivo y amigable de las quejas y disputas que interponen los Titulares
- Capacidad del Titular de consultar y/o corregir los datos almacenados
- Consistencia de los procesos frente a los requisitos de privacidad APEC
- Programa de rendición de cuentas y monitoreo de cumplimiento
- Existencia de una cooperación de las autoridades reguladoras en el país de operación
Una vez que la organización es certificada es identificada como una empresa que protege la información de sus consumidores, que trata los datos personales en forma coherente con las buenas prácticas de privacidad y que se vincula a las leyes nacionales e internacionales.
Desde el punto de vista de beneficios, las empresas certificadas cuentan con un sello de confianza que les permite incorporarse eficientemente al mercado de bienes y servicios de los países que han adoptado el sistema CBPR. Adicionalmente se establecerá un vínculo entre los titulares de los datos personales y las empresas que entregan bienes y servicios, generando tranquilidad y credulidad en sus procesos y en sus marcas.
Las empresas Colombianas que pretendan establecerse en alguno delos países citados anteriormente que han adoptado el CBPR como marco para la privacidad de los datos deberían considerar implementar un sistema de gestión alineado con los requerimientos APEC, y hacerse certificar por un agente de responsabilidad, ello redundará en la apertura de canales comerciales para el comercio transnacional.
