En junio de este año, escribimos sobre la frustración que supone el hecho de que los legisladores del Capitolio sigan debatiendo la forma de un proyecto de ley federal sobre privacidad debe tomar. Desde entonces, los asuntos han seguido alargándose. Así que no es de extrañar que un número cada vez mayor de estados haya optado por tomar sus propias medidas para la privacidad de los consumidores.
Pero no todo el mundo está a favor de las leyes de privacidad a nivel estatal.
Según Michael Beckerman, presidente y director general de la Asociación de Internet, los estadounidenses pagarán un precio por las leyes estatales de privacidad.
Opinión: Michael Beckerman
El gobierno federal aún no ha actuado, y los estados se apresuran a aprobar su propia legislación sobre privacidad de datos, creando un mosaico de leyes de costa a costa. Muchas de estas leyes tienen buenas intenciones, pero su proliferación crea un riesgo real y un coste real.
El riesgo es que los estadounidenses tengan una falsa sensación de seguridad de que su privacidad está protegida de forma constante. El coste es que las empresas online y offline, grandes y pequeñas, pagan un precio muy alto por cumplir una amplia gama de normas de privacidad.
Un mosaico de leyes estatales significa que una mujer de California que pide un artículo a una empresa de Missouri que fabrica en Florida podría tener sus datos regulados por tres leyes distintas, o por ninguna ley aplicable. A pesar de la Ley de Protección de la Privacidad del Consumidor de California, los residentes del estado no pueden estar seguros de que las protecciones que se aplican cuando tratan con una empresa cubierta por la ley se aplicarán cuando compran en su tienda de la esquina, viajan a través del país o realizan transacciones en línea con empresas que no están sujetas a la ley de privacidad de California.
Esto no sólo aumentará la confusión de los consumidores sobre el tratamiento de los datos, sino que también dará lugar a un tratamiento incoherente de los datos en función de diversos factores, como la residencia del consumidor y el tipo de empresas con las que interactúa.
Privacidad personal discutible
Los estadounidenses no pueden confiar en que sus datos permanezcan protegidos cuando viajan de un estado a otro.
Las leyes de privacidad de datos a nivel estatal también crean un entorno difícil para las empresas y aumentan los costes del cumplimiento legal. Por ejemplo, Nevada y California comparten frontera y miles de millones de actividad económica, y ambos estados han actualizado recientemente sus propias leyes de privacidad de datos. Sin embargo, no se ponen de acuerdo en elementos básicos de esas leyes, como cuándo y cómo una persona puede optar por no vender sus datos. Las empresas que quieren operar a ambos lados de la frontera deben navegar por dos leyes distintas que regulan la venta de datos, pero lo hacen de dos maneras muy diferentes.
Irónicamente, para cumplir con las leyes estatales basadas en el lugar de residencia de un individuo, los servicios en línea que recogen información mínima, incluida la información de geolocalización, deben elegir entre aplicar la norma de un estado a todos los individuos del país o recoger más información personal. Por ejemplo, si una empresa no tiene suficiente información para saber si alguien es residente de California, la empresa tiene que tratar a todos como residentes de California o recopilar información de localización para tomar una decisión. Si sólo un estado tiene una ley de privacidad, eso puede estar bien. Sin embargo, si hay diferentes obligaciones en virtud de las leyes estatales, entonces la empresa realmente tendría que recopilar más información.
La Asociación de Internet, que representa a las empresas de medios sociales, las plataformas de economía colaborativa, las empresas de comercio electrónico y los proveedores de nubes comerciales, ha publicado principios de privacidad el año pasado que esbozan los elementos esenciales de un enfoque estadounidense de la legislación nacional sobre la privacidad de los datos. [Sus principios dan prioridad al aumento de la transparencia en la recopilación de datos y al control de los datos que las personas comparten con las empresas, incluida la posibilidad de acceder, corregir, eliminar y descargar esos datos. Estos principios nos guiarían hacia una ley coherente en todo el país, a la vez que proporcionarían una proporcionalidad y una flexibilidad que serían imposibles de lograr con un esquema de regulación por estados.
Otras partes del mundo han luchado con problemas similares y los han superado. La aprobación en 2016 del Reglamento General de Protección de Datos de la Unión Europea fue precedida por numerosas leyes individuales que regulan la privacidad de los datos en los distintos países.
Como Informe de 2019 de la Comisión Europea:
Uno de los principales objetivos de la [DGPR] era acabar con el panorama fragmentado de 28 legislaciones nacionales diferentes que existía... y proporcionar seguridad jurídica a los particulares y las empresas de toda la UE.
En Estados Unidos, 29 estados han aprobado leyes relacionadas con la privacidad de los datos. La ley de California, aprobada a toda prisa y que entrará en vigor el año que viene, se aplica a cualquier empresa que haga negocios en California y recoja información de cualquier persona que viva en el estado. Vermont tiene una ley de alcance limitado que sólo se refiere a los corredores de datos. Maine no regula los corredores de datos, pero sí los proveedores de servicios de Internet. Illinois tiene una ley sobre datos biométricos que la mayoría de los demás estados no tienen.
El mosaico de leyes estatales es cada vez más complicado. Catorce estados han considerado la posibilidad de legislar sobre los proveedores de servicios de Internet. Veinticinco estados y Puerto Rico han considerado una legislación centrada en diversos aspectos de los datos de los consumidores. Los 50 estados, el Distrito de Columbia, Guam, Puerto Rico, las Islas Vírgenes e incluso algunos municipios tienen sus propias leyes sobre cómo responder a las violaciones de datos.
Todas esas leyes están sujetas a cambios. En 2019, estados considerados al menos 21 medidas para modificar las leyes sobre violación de datos. Se han estudiado más de 150 textos legislativos sobre datos de los consumidores, y cinco estados han aprobado proyectos de ley que obligan a realizar estudios sobre la privacidad para fundamentar la futura legislación.
Este entorno normativo complejo e incoherente hace que el país corra el riesgo de ceder nuestra posición de líder en tecnología. El mosaico sólo beneficia a los abogados y a la multimillonaria industria del cumplimiento de la normativa de datos, que ayuda a las empresas más ricas y con más recursos a navegar por el panorama de la normativa de datos estatal a cambio de una tarifa. Es injusto esperar que los propietarios de pequeñas empresas y los empresarios se conviertan en expertos legales y naveguen por las complejas leyes de datos de su estado y de cualquier otro en el que quieran hacer negocios.
La mejor solución es una ley federal que proporcione un conjunto coherente de normas para las empresas, tanto en línea como fuera de ella, independientemente de dónde se encuentren sus clientes. Estas normas ayudarían a proporcionar a los estadounidenses la protección que merecen y a las empresas la seguridad que necesitan. El Congreso tiene que aprobar una legislación integral y de ámbito económico para garantizarlo.
Una ley nacional de privacidad sería más fuerte con una aplicación unificada y bien financiada a través de la Comisión Federal de Comercio. La supervisión federal permitiría a todos los estadounidenses beneficiarse de múltiples protecciones de la privacidad, como la opción de eliminar sus datos, la transparencia en la recopilación de datos y la posibilidad de trasladar los datos entre servicios.
La no aprobación de las normas nacionales perjudicará a la economía estadounidense. Las empresas verán aumentar los costes de cumplimiento de las normas y los consumidores verán los efectos directos. Un estudio reciente realizado por IBM Security y el Instituto Ponemon, ha descubierto que el coste medio total de una violación de datos en todo el mundo es de $3,92 millones. Estados Unidos registró los índices más altos del mundo, con un coste medio de $8 millones, y el fiscal general de California, encargado de hacer cumplir la ley de privacidad del estado, afirma que los costes de cumplimiento para las empresas californianas podrían costar miles de millones.
Esos elevados costes dependen de muchos factores, pero el cumplimiento de complejas normativas contribuye en gran medida. Una cosa sería si esos costes adicionales ofrecieran a los consumidores garantías significativas o seguridad adicional. Pero un mosaico de leyes estatales sustituye a menudo las protecciones coherentes para los consumidores por la complejidad y la confusión para todos.
Según Beckerman, los estadounidenses de todos los estados que interactúan con empresas de todos los sectores de la economía merecen que se protejan sus datos personales. Un mosaico de leyes estatales no será suficiente.
Fuentes y lecturas adicionales: Asociación de Internet, NCSL, Comisión Europea