Tengo un sitio web y una aplicación móvil que no almacena datos o PII.
Supongamos que no estoy sujeto a ninguna ley especial de privacidad. ¿Cómo puedo someterme voluntariamente a una auditoría para asegurarme de que estoy cumpliendo mi palabra?
¿Qué regulaciones son reconocidas por las empresas (y los consumidores) en los EE. UU.
En la Unión Europea tiene el GDPR (Reglamento general de protección de datos ) que se aplicará el 25 de mayo de 2018 para todos los estados miembros (incluido el Reino Unido). Hasta ahora, ha habido un marco general que cada estado miembro implementaría localmente pero que ha llevado a diferentes interpretaciones. Este reglamento establecerá los mismos términos para todos (y muy bienvenidos).
GDPR no es voluntario, es obligatorio para cualquier empresa e institución que opera en la UE. No hay una agencia oficial que certifique que una empresa cumple con GDPR (creo que esto es incluso inviable, ya que restringiría el funcionamiento de una empresa porque se requeriría una auditoría para cualquier cambio mínimo en la empresa). Pero hay muchas compañías que ofrecen sus servicios para cumplir con GDPR. Si una empresa quiere anunciar dicho cumplimiento a sus clientes y si los clientes confían en que depende de cualquiera de las partes.
Para su ejemplo de un sitio web y una aplicación que no almacena PII. Si tiene un sitio web, ya está procesando PII (la dirección IP, por ejemplo), por lo que no debe declarar tan fácilmente que no está procesando PII porque es probable que esté en la mayoría de los casos (al menos, según el GDPR, o si lo prefiere en la UE).
En EE. UU. no puedo responder porque no conozco la legislación aplicable en detalle, espero que alguien más pueda arrojar algo de luz sobre esto.
Lea otras preguntas en las etiquetas privacy audit legal regulation pii