El equipo de consultores de The Data Privacy Group revisa constantemente los retos y efectos de la legislación sobre privacidad en Europa, Norteamérica y más allá.
Una larga lista de incidentes de alto nivel en materia de privacidad y protección ha saltado a los titulares durante los últimos 24 meses, y tenemos todos los motivos para creer que nos dirigimos a otro año tumultuoso.
¿CCPA 2.0?
El primer gran acontecimiento de 2020 (que apenas necesita ser recordado) llega el día de Año Nuevo. Es, por supuesto, la promulgación de la Ley de Privacidad del Consumidor de California (CCPA).
El mes pasado, el fiscal general de California, Xavier Becerra, firmó las últimas cinco enmiendas de la CCPA de 2019, incluida una enmienda a la legislación sobre violación de datos de California. California ha entrado ahora en la fase de consulta pública, con una serie de audiencias públicas que tendrán lugar hasta el 6 de diciembre.
Ya se han presentado varias propuestas para reforzar la CCPA y hacerla mucho más estricta. Entre ellas se encuentra la iniciativa Mactaggart Ballot, que propone la creación de una autoridad de protección de datos en California, para hacer cumplir la legislación del estado dorado. La "Agencia de Protección de la Privacidad de California" será un organismo independiente, encargado de proteger la privacidad de los consumidores, de garantizar que los consumidores californianos estén debidamente informados de sus derechos y obligaciones, y de hacer cumplir la ley CCPA en los casos en que se compruebe que las empresas han violado los derechos de privacidad de los consumidores.
La iniciativa prevé un proceso de traspaso del Fiscal General de California a la nueva agencia. (En la actualidad, el fiscal general es responsable de la elaboración y aplicación de las normas de la CCPA).
También se incluyen en la iniciativa electoral The California Privacy Rights and Enforcement Act of 2020:
-
la adición de una nueva categoría de información personal denominada: "información sensible", que incluye: información precisa de geolocalización, número de seguridad social, número de pasaporte, inicio de sesión de la cuenta del cliente, cuenta financiera, información personal que revela la raza o el origen étnico del consumidor, la religión, la pertenencia a un sindicato y la orientación sexual.
-
Se conceden a los consumidores nuevos derechos sobre la "información sensible", como el derecho a excluirse, en cualquier momento, de que una empresa revele o utilice información personal sensible para publicidad y marketing o revele esta información a un proveedor de servicios o contratista para estos fines.
-
Las empresas facilitarán un enlace independiente para que los usuarios puedan ejercer este derecho de exclusión.
-
Las empresas deben obtener el consentimiento previo a la venta de la información personal sensible de un consumidor. Un consumidor que haya optado por la venta de información personal sensible puede revocar esta autorización en cualquier momento.
-
-
la creación de un nuevo derecho a corregir la información personal inexacta.
-
exige el consentimiento previo para la recopilación de información personal de niños menores de 16 años, y aumenta las sanciones por la violación de la privacidad de los niños.
-
Disposición según la cual un consumidor puede solicitar a una empresa que revele la información personal recopilada más allá del período de 12 meses actualmente requerido, y que la empresa debe proporcionar dicha información a menos que hacerlo sea indebidamente oneroso o implique una cantidad desproporcionada de información.
-
requisito de que una empresa debe notificar al consumidor y al Estado, cuando utilice la información personal de un consumidor para promover los intereses políticos de la empresa en su propio nombre, o para influir en el resultado de unas elecciones.
-
promulgación de requisitos de notificación adicionales para las empresas, incluyendo, entre otros, requisitos específicos para "terceros".
-
modificación de la definición de "empresa" como la que tiene 100.000 o más consumidores u hogares, en lugar de los 50.000 o más consumidores, hogares o dispositivos de la CCPA.
-
modificación de la definición de "finalidad comercial" para incluir nuevos elementos como: "publicidad no personalizada" (no basada en un perfil o en predicciones derivadas del comportamiento anterior del consumidor) siempre que la información no se revele a un tercero, no se utilice para construir un perfil del consumidor ni altere la experiencia del consumidor con la empresa.
-
modificación de la definición de "desidentificado" a: "información que no puede utilizarse razonablemente para inferir información sobre un consumidor identificable o vincularse a él de otro modo", si la empresa cumple determinados requisitos. El Fiscal General proporcionará normas adicionales relacionadas con la definición de "desidentificado".
-
"hogar" debe definirse como "un grupo, cualquiera que sea su identificación, de consumidores que cohabitan entre sí en la misma dirección residencial y comparten el acceso a dispositivos o servicios comunes proporcionados por una empresa".
-
Establecer que las disposiciones de la iniciativa electoral pueden ser modificadas después de su aprobación por los votantes mediante una ley aprobada por la mayoría de los miembros de la Legislatura del Estado de California, y firmada por el gobernador si las modificaciones son "coherentes con el propósito y la intención" de la Ley.
¿Y ahora qué?
Esta propuesta permite que se realicen modificaciones una vez firmada por el gobernador, si las modificaciones son "coherentes con el propósito y la intención" de la ley.
Curiosamente, este enfoque parece sugerir la voluntad de aprobar nuevas enmiendas que permitan a la ley seguir el ritmo de las nuevas tecnologías. El proceso estándar para enmendar las iniciativas electorales requiere el voto de una supermayoría de la legislatura.
Legislación sobre privacidad
En 2003 se aplicó en el Reino Unido la Directiva de Comunicaciones Electrónicas 2002/58. En 2020 será sustituida por el Reglamento sobre privacidad electrónica de la Unión Europea. Diseñada para funcionar junto con el RGPD, la nueva ley asumirá las definiciones de privacidad y datos, con vistas a introducir mejoras en ámbitos como las cookies, el marketing no solicitado y la confidencialidad para la privacidad en línea.
Los recientes debates en el Consejo de Ministros apuntan a posibles avances en las negociaciones en curso. En cuanto a la alineación de la legislación con el RGPD el próximo año, empieza a parecer esperanzadora una posición conjunta del gobierno sobre el proyecto de legislación, siempre y cuando se pueda llegar a un acuerdo con el Parlamento Europeo, que parece centrarse en normas mucho más estrictas que los representantes del gobierno.
Análisis de casos
Se cree que gran parte de los avances logrados han sido impulsados por la sentencia dictada el mes pasado por el Tribunal de Justicia de la Unión Europea (TJUE) en relación con un caso que afectaba a una empresa de juego online, Planeta 49.
La empresa organizó una lotería promocional en su sitio web, en la que los usuarios de la lotería tenían que marcar dos casillas. La primera era una casilla no marcada para recibir publicidad de terceros. Para participar en el concurso, los usuarios debían marcar esta casilla. La segunda era una casilla previamente marcada que permitía a Planet49 establecer cookies para rastrear el comportamiento del usuario en línea.
La Federación Alemana de Organizaciones de Consumidores (GFCO) alegó que estas dos casillas no cumplían los requisitos legales alemanes y solicitó un requerimiento judicial para que Planet49 dejara de utilizarlas. El caso llegó finalmente al Bundesgerichtshof (Tribunal Federal de Justicia de Alemania), que remitió el asunto al TJUE para que se pronunciara con carácter prejudicial.
Como era de esperar, las conclusiones del TJUE coinciden en su mayoría con las recientes orientaciones normativas sobre el uso de cookies y tecnologías similares.
Los puntos clave de la sentencia incluyen:
-
Las casillas marcadas previamente que autorizan el uso de cookies y tecnologías similares no constituyen un consentimiento válido según la Directiva sobre privacidad electrónica.
-
Cuando se requiera el consentimiento para las cookies en virtud de la Directiva sobre privacidad electrónica, se aplicará la norma de consentimiento del RGPD.
-
No importa si las cookies constituyen datos personales o no: el apartado 3 del artículo 5 de la Directiva sobre la privacidad en las comunicaciones electrónicas (es decir, la norma sobre el consentimiento de las cookies) se aplica a cualquier información instalada o a la que se acceda desde el dispositivo de una persona.
-
Los usuarios del sitio web deben recibir información sobre la duración de las cookies y sobre si terceros tendrán acceso a ellas.
El Tribunal confirmó en su sentencia que los formularios premarcados para las cookies no constituyen un consentimiento libre e informado y que, por tanto, el consentimiento prestado de ese modo no es válido.
Dado que esta sentencia se considera una especie de hito, es casi seguro que podemos esperar ver casos similares en relación con las leyes sobre el uso de cookies en 2020.
Mientras tanto, los consumidores que buscan formas de protegerse en línea utilizan cada vez más los servicios de VPN (red privada virtual), que permiten a los usuarios enviar y recibir datos a través de redes compartidas o públicas como si sus dispositivos estuvieran directamente conectados a la red privada.
Transferencias de datos personales
Otro ámbito que se está revisando se refiere a la transferencia de información personal de los consumidores desde los países de la Unión Europea a los Estados Unidos. Esto se aplica al uso de cláusulas contractuales estándar, así como a las transferencias a través del Escudo de Privacidad UE-EEUU.
Schrems II está pendiente de que el Tribunal decida si alguno de los dos mecanismos de transferencia ofrece garantías suficientes y adecuadas para proteger los datos personales originados en la UE, especialmente a la luz de la amplia legislación de vigilancia estadounidense. Se espera una decisión al respecto en febrero o marzo del próximo año. Si la sentencia establece que las cosas deben cambiar, podría tener un gran impacto en los flujos de datos internacionales, pero es demasiado pronto para saberlo.
Los usuarios de móviles tienen actualmente varias opciones para controlar sus datos. Por ejemplo, hay aplicaciones de privacidad para Android que son cada vez más populares en la tienda Google Play.
Mientras tanto, la seguridad en línea sigue siendo la mayor preocupación para las empresas y los consumidores, especialmente cuando se trata de proteger los datos personales. Creemos que las empresas se enfrentarán a una normativa mucho más estricta durante el próximo año.
El cumplimiento del RGPD sigue retrasado
Se espera que el año que viene se lleve a cabo la primera revisión exhaustiva del impacto de la legislación del RGPD.
Sin embargo, es poco probable que la Comisión Europea proponga cambios significativos en la ley en ese momento, aunque podría haber algunos pequeños cambios en relación con la gobernanza de la protección de datos.
Podemos esperar razonablemente que las autoridades de protección de datos presenten propuestas de aplicación más sólidas, aunque el mayor reto al que se enfrentan muchas APD es que carecen de personal y fondos suficientes.
Una certeza en la que podemos confiar en 2020 es que no habrá un aumento repentino de las empresas que cumplan con el GDPR. Demasiadas empresas siguen evitando el tiempo y la inversión financiera que conlleva, o simplemente no prestan la debida atención y consideración al cumplimiento del RGPD.
Mientras tanto, los consumidores conocedores de la privacidad recurrirán cada vez más al software de privacidad gratuito, como medio para proteger sus datos personales lo mejor posible.
Fuentes y lecturas adicionales: IAPP (Schrems II), InfoCuria (caso Planeta 49),