Cómo afectará la Ley de Seguridad en Línea a las empresas más allá de las Big Tech

La tan anunciada Ley de Seguridad en Línea del Reino Unido ya se ha convertido en ley, y el probable impacto de esta legislación en un puñado de las plataformas en línea más grandes ha sido muy publicitado. Sin embargo, Ofcom estima que alrededor de 100.000 servicios estarán dentro del alcance; entonces, ¿cuál es el impacto potencial de la Ley en una gama más amplia de empresas que deberán cumplirla? Legislación escalonada La Ley se aplica a dos tipos de servicios: “servicios de usuario a usuario”, que permiten a los usuarios compartir contenido directamente con otros usuarios, y “servicios de búsqueda”, que son (o incluyen) un motor de búsqueda, y en cada uno caso que tienen vínculos con el Reino Unido. Son los conocidos como “servicios regulados”, que la Ley divide en cuatro categorías: Categoría 1: servicios de usuario a usuario de mayor alcance con funcionalidades de mayor riesgo. La Ley impone las obligaciones más onerosas a estos servicios, incluida la transparencia, la publicidad fraudulenta y los requisitos de empoderamiento de los usuarios; Categoría 2a: los servicios de búsqueda de mayor alcance, que enfrentarán requisitos de transparencia y publicidad fraudulenta; Categoría 2b: servicios con funcionalidades potencialmente riesgosas/otros factores, que enfrentarán requisitos de transparencia; y el resto de los servicios regulados en el ámbito de la Ley. Aunque la Ley crea varias obligaciones para otros servicios específicos, en particular los sitios de pornografía, la mayoría de las obligaciones de la Ley se aplican a estas cuatro categorías de servicios regulados. Dado que Ofcom ha estimado que sólo alrededor de 30 a 40 servicios (de 100.000 en alcance) alcanzarán los umbrales para las Categorías 1, 2a y 2b, esto significa que la gran mayoría de los servicios regulados no estarán en esas categorías especiales, sino más bien en aquellos en la categoría final arriba. Pero ¿qué pasa con el resto de nosotros? Los requisitos que se aplican a todos los servicios regulados, incluidos aquellos fuera de las categorías especiales, son naturalmente los menos onerosos según la Ley; sin embargo, debido a que todavía introducen nuevas obligaciones legales, para muchas empresas será necesario considerar el cumplimiento a través de una nueva lente. Las áreas clave que esos servicios deben considerar son: Evaluaciones de riesgos. Los servicios regulados deberán realizar determinadas evaluaciones de riesgos a intervalos definidos. El tipo de evaluaciones de riesgos que debe realizar un proveedor de servicios depende de la naturaleza y los usuarios del servicio. Evaluación de contenidos ilegales: todos los proveedores de servicios regulados deben realizar una evaluación de riesgos sobre la probabilidad de que los usuarios encuentren contenidos ilegales y sean perjudicados por ellos, teniendo en cuenta una serie de factores que incluyen la base de usuarios, el diseño y las funcionalidades del servicio y sus sistemas de recomendación. y la naturaleza y gravedad del daño que las personas podrían sufrir debido a este contenido. Evaluación del acceso de los niños y evaluación de riesgos de los niños: todos los servicios regulados deben llevar a cabo una evaluación de si es probable que los niños accedan al servicio y, de ser así, deben llevar a cabo una evaluación de riesgos de los niños sobre la probabilidad de que los niños se encuentren con y sean perjudicados por contenido del sitio, dando consideración separada a los niños en diferentes grupos de edad. Estas evaluaciones de riesgos deben actualizarse periódicamente y realizarse evaluaciones de riesgos adicionales antes de que se cambie el diseño o la operación del servicio, para evaluar el impacto de este cambio. Ofcom ha sugerido que los servicios regulados deberían considerar las mejores prácticas de cumplimiento de privacidad existentes como modelo para esto, y tomar “en cuenta la seguridad en línea de la misma manera que lo hacen actualmente con la protección de datos, a través de evaluaciones de riesgos proactivas en el momento en que están desarrollando nuevas políticas”. o productos actualizados”. Deberes de seguridad. Una vez realizadas las evaluaciones de riesgos pertinentes, los proveedores de servicios deben utilizar medidas proporcionadas para mitigar y gestionar los riesgos identificados. Aunque esto suena oneroso, Ofcom se ha esforzado en enfatizar que “la proporcionalidad es fundamental para el régimen” y que la Ley “no requiere necesariamente que los servicios sean capaces de detener todos los casos de contenido dañino”, sino más bien que las obligaciones de seguridad sean limitado por lo que es proporcionado y técnicamente viable. Además, los proveedores de servicios deberán equilibrar el cumplimiento de estas obligaciones de seguridad con la protección de la libertad de expresión y la privacidad, y mantener registros de todas las evaluaciones de riesgos y medidas de mitigación adoptadas. Denuncias, quejas y derechos de los usuarios. Los servicios regulados también deben tener mecanismos para que los usuarios denuncien fácilmente i) contenido que consideren ilegal y ii) contenido que sea perjudicial para los niños si el servicio no utiliza verificación o estimación de la edad para impedir el acceso de los niños. La Ley también exige que los servicios regulados incluyan disposiciones en sus términos de servicio que aborden: cómo los usuarios pueden presentar quejas específicas, relacionadas tanto con el incumplimiento de la ley como con el incumplimiento de los términos del servicio, y el derecho del usuario a presentar un reclamo. por incumplimiento de contrato si se suspenden, prohíben o su contenido se elimina/restringe en el servicio, en incumplimiento de los términos de ese servicio. Las disposiciones sobre denuncias, en particular, deben ser de fácil acceso y uso, incluso para los niños; Esto será un desafío ya que los conceptos cubiertos por estas disposiciones no son sencillos. Es posible que a los proveedores les gustaría volver a examinar las mejores prácticas de privacidad aquí y adoptar conceptos ampliamente utilizados en los avisos de privacidad para transmitir información compleja, como capas, infografías y enfoques multimedia. Notificación – ¿y posibles tarifas? Los proveedores de servicios regulados que no estén exentos deberán notificar a Ofcom, y aquellos que cumplan con las condiciones mínimas especificadas deberán pagar una tarifa, pero las exenciones y los umbrales se establecerán en la legislación delegada, por lo que aún no se conoce el número de plataformas incluidas en el alcance. claro. A modo de comparación, las organizaciones que procesan datos deben pagar a la ICO una tarifa regulatoria similar de entre £40 y £2900 por año, escalonadamente según el tamaño, y existen varias exenciones a este requisito. Las consecuencias del incumplimiento de las obligaciones previstas en la Ley son potencialmente graves. La Ley establece una amplia gama de poderes de ejecución para Ofcom, desde investigar y auditar servicios sospechosos de incumplimiento de sus obligaciones hasta tomar medidas para perturbar el negocio en el caso de los peores y más evasivos infractores. Ofcom también puede imponer multas, con un límite máximo de £ 18 millones o el 10 % de los ingresos mundiales, pero cualquier multa debe ser apropiada y proporcional al incumplimiento por el que se impuso. El diablo está en los detalles A pesar de tener más de 250 páginas, la Ley depende de Ofcom y del Secretario de Estado para completar la mayoría de los detalles sobre lo que los proveedores realmente deben hacer, incluido el establecimiento de umbrales para las categorías especiales y el pago de tarifas. Ofcom también necesita producir más de 40 documentos reglamentarios, incluidas directrices y códigos de práctica, que indicarán y darán forma a cómo se ve el buen cumplimiento en la práctica, porque si un servicio toma las medidas establecidas en los códigos relacionados con las tareas de seguridad, se considera cumplir con estos deberes establecidos en la Ley. El Secretario de Estado incluso tiene discreción para realizar modificaciones específicas a la legislación, por ejemplo ampliándola potencialmente para regular el contenido perjudicial para los niños en las tiendas de aplicaciones. Por lo tanto, aunque los proveedores de servicios que probablemente queden fuera de las categorías especiales deberían comenzar a pensar ahora en sus áreas clave de cumplimiento, todavía queda un camino por recorrer hasta que estos proveedores conozcan el peso total de sus obligaciones bajo la Ley. Ria Moody es asociada gerente de TMT en Linklaters

Source link