California: Los legisladores se disponen a perfeccionar la CCPA

"Vaga", "confusa", "necesita aclararse" y "difícil de aplicar". Estos son sólo algunos ejemplos de los comentarios recibidos hasta ahora, en relación con la Ley de Privacidad del Consumidor de California (CCPA).

Ya en agosto de 2018, una coalición de grupos empresariales, formada por la Cámara de Comercio de California, además de una amplia gama de asociaciones industriales, escribió a los legisladores de California para solicitar una serie de enmiendas a la CCPA ("AB 375") que fue promulgada el 28 de junio de 2018.

La carta de la coalición solicitaba la corrección de varios errores de redacción, y medidas correctoras para ciertos aspectos del proyecto de ley, que las empresas afectadas consideran "inviables", con el fin de evitar "consecuencias negativas no previstas por los autores."

Los cambios solicitados incluyen modificaciones en las definiciones de términos como "consumidor" e "información personal", y una mayor flexibilidad para crear y aclarar la no discriminación en la prestación de servicios...

Pero hay otros grupos que también tienen interés en las leyes de privacidad a nivel estatal como la CCPA. Y, cada vez más, los legisladores estatales que no tienen suficiente conocimiento de los aspectos técnicos de la privacidad de los datos tienen que recurrir a los servicios de expertos externos para codificar las protecciones necesarias para una legislación eficaz. Pero, ¿podría esto también abrir las puertas a los grupos de presión financiados por la industria, cuyos objetivos podrían estar más a favor de las manos que les dan de comer, que de salvaguardar los derechos de privacidad de los consumidores?

El pasado martes 23 de abril de 2019, el Comité de Privacidad y Protección del Consumidor de la Asamblea de California comenzó la tarea de aclarar las ambigüedades reportadas contenidas dentro de la CCPA. Como con cualquier legislación compleja, parte del lenguaje puede ser confuso, haciendo que la ley sea difícil de poner en práctica para las partes afectadas. El objetivo de la legislatura, es resolver varias ambigüedades clave de cumplimiento antes de que el Fiscal General de California comience a elaborar la normativa a finales de este año.

Los tres proyectos de ley más importantes que se aprobaron fueron a las definiciones tan amplias y confusas de la CCPA de los términos "información personal", "consumidor" e información "desidentificada", con el apoyo del presidente de Californians for Consumer Privacy, Alastair McTaggart.

Los empleados no son "consumidores"

El proyecto de ley AB 25 del presidente Ed Chau, que fue aprobado por unanimidad, contiene una importante aclaración que, a efectos de la CCPA, los empleados no son "consumidores"Siempre que los datos personales del individuo se recojan y utilicen exclusivamente en el marco de la relación empleador-empleado. En el caso de un contratista, debe existir un contrato escrito. Esta excepción se aplicaría a los datos de los contactos de emergencia y de los beneficiarios, y no simplemente a los datos relativos al empleado/contratista/agente. Chau indicó su intención de eximir también los datos que se recojan y utilicen exclusivamente en el marco de una relación entre empresas.

Los datos de los hogares se recogen protegiendo la privacidad

Con respecto a Garantías del derecho a obtener "datos personales específicos", El proyecto de ley 25 contiene un texto en el que se indica que la comisión tiene la intención de trabajar con las partes interesadas para aclarar la aplicación del derecho de acceso de la CCPA a los datos del hogar. Con ello se pretende garantizar que el acceso se produzca de una manera que proteja la privacidad y no perjudique la privacidad de otros miembros del hogar.

El presidente Ed Chau también expresó su preocupación por el hecho de que los pretextos puedan obtener información sensible mediante solicitudes de acceso. Los pretextos utilizan una amplia gama de tácticas para acceder a la información personal. Suelen decir que representan a muchos tipos de organizaciones, como bancos, organismos gubernamentales, fuerzas de seguridad locales y empresas de encuestas.

Aclaración de la información desidentificada

AB 873 de la asambleísta Jacqui Irwin: Aclaración de la información personal y desidentificadaTambién se aprobó por unanimidad. Ahora hay dos propuestas de compromiso en el proyecto de ley, que Mactaggart había presentado durante las negociaciones con las partes interesadas. La primera certifica que la "información personal" no cubre toda la "información que es ... capaz de ser asociada" con un individuo u hogar específico, sino la información que es "razonablemente capaz de ser [así] asociada". Esta disposición tendría el efecto de poner algún límite a la definición casi ilimitada de datos personales de la CCPA, excluyendo la información que sólo es teóricamente capaz de ser asociada. 

El segundo compromiso propuesto sustituiría la norma de desidentificación "razonablemente vinculable" del informe del personal de la Comisión Federal de Comercio de 2012 por la definición actual de la CCPA, que es circular con la definición de "información personal" de la CCPA, En efecto, esto no es ninguna excepción.

Los datos desidentificados serían aquellos que:

"no identifique razonablemente, o vincule directa o indirectamente a un consumidor en particular, siempre que la empresa no intente reidentificar la información y tome medidas técnicas y administrativas razonables diseñadas para:

  1. Garantizar que los datos estén desidentificados,

  2. Comprometerse públicamente a mantener y utilizar los datos de forma desidentificada, y

  3. Prohibir contractualmente a los receptores de los datos que intenten reidentificarlos".

Este principio proporcionaría efectivamente una vía y un incentivo claro para desidentificar los datos, limitando así la gama de datos que poseen las empresas, que estarían sujetas a la CCPA.

A modo de ejemplo, esto tendría probablemente el efecto de eximir las direcciones IP y los identificadores de dispositivos, que se controlan por separado de los datos personales y no pueden ser consultados o accedidos por empleados o terceros, que podrían vincular los datos.

Otro ejemplo es: la información personal encriptada o con hashtags unidireccionales. Estos datos estarían exentos, al igual que los datos que se almacenan por separado, nunca se combinan, y que la empresa se ha comprometido públicamente a mantener en una forma desidentificada.

Aprobación de otros proyectos de enmienda del CCPA:

  1. AB 846, un proyecto de ley para aclarar que los programas de fidelización están exentos de las restricciones de "no discriminación" de la CCPA para los consumidores que ejercen la prohibición de los derechos de exclusión de la CCPA y para aclarar el lenguaje confuso de esa sección. El proyecto de ley se redujo un poco durante el proceso de revisión y Chau expresó su firme opinión de que los incentivos deben estar directamente relacionados, en lugar de "razonablemente", con el valor de los datos del consumidor, lo que supondría una prueba bastante diferente.

  2. AB 981, un proyecto de ley que, tal y como se presentó, habría eximido a las compañías de seguros reguladas de la CCPA, pero que ha sido modificado para añadir numerosos requisitos de privacidad nuevos en el Código de Seguros.

  3. AB 1146, un proyecto de ley para aclarar que la información sobre la garantía de los vehículos de motor o la retirada del mercado puede ser compartida entre los concesionarios de automóviles y los fabricantes sin estar sujeta a la eliminación de datos o a las solicitudes de "no vender".

  4. AB 1564, un proyecto de ley para ofrecer alternativas al actual requisito de la CCPA de que las empresas deben establecer un número de teléfono gratuito para recibir las solicitudes de la CCPA.

  5. AB 874, un proyecto de ley para crear una exención clara y completa de los registros públicos de la definición de "información personal".

  6. AB 1355, un proyecto de ley de Chau para introducir cambios técnicos en los numerosos errores de redacción de la CCPA.

Retirada de los proyectos de enmienda de la CCPA

Durante la audiencia se retiraron dos proyectos de enmienda del CCPA:

  • AB 1760, (también conocida como "Ley de privacidad para todos")
    Este proyecto de ley habría ampliado sustancialmente los requisitos de la CCPA. Sus características incluían:

    1. Ampliar el derecho de acción privada a todas las violaciones de la privacidad,

    2. Ampliar la exclusión voluntaria, no sólo de la "venta" de datos personales, sino a todo El intercambio de información personal, añadiendo requisitos de minimización de datos, así como ampliando la norma de "derecho a saber" de la CCPA, exigiendo a las empresas que identifiquen específicamente a los consumidores los nombres de los terceros con los que se compartió la información personal. 

El proyecto de ley, que podría haber impuesto más de $1billones en costes de cumplimiento, fue retirado debido a una aparente falta de apoyo. Ahora es un proyecto de ley de dos años, aunque un proyecto de ley comparativamente similar, el SB 561, fue aprobado por el Comité Judicial del Senado por un estrecho margen. El proyecto de ley podría convertirse en un mecanismo para ampliar el cumplimiento de los requisitos de la CCPA a través de la aplicación por parte del abogado de la ciudad.

  • SB 753
    El senador Henry Stern, demócrata de California, retiró el proyecto de ley SB 753, durante una audiencia del Comité Judicial del Senado, que se celebró el mismo día. Se trataba de un proyecto de ley para crear una exención de la CCPA de la definición de "venta" el intercambio de "cualquier identificador único sólo en la medida necesaria para entregar, mostrar, medir, o de otra manera servir o auditar un anuncio específico para el consumidor." Evidentemente, un triunfo para ciertos grupos de defensa de la privacidad que pretenden frenar este proyecto de ley.

¿Es probable que estos proyectos se conviertan en ley?

Los proyectos de enmienda de la CCPA van a ser considerados por el Comité Judicial del Senado. El comité está presidido por la senadora Hannah Beth Jackson, demócrata de California, Al parecer, es probable que Jackson intente bloquear algunos de estos proyectos de ley, o que intente añadirles elementos del SB 561.

A fin de cuentas, los líderes del Senado tendrán que participar activamente para que los proyectos de enmienda de la CCPA tengan éxito en el Senado. Sin embargo, estos primeros movimientos son un indicador positivo de que algunas aclaraciones legislativas de los requisitos de la CCPA podrían aprobarse este año.

¿Afecta la CCPA a sus empresas? Comparta sus comentarios y preguntas a continuación.

Contactar con el autor
Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Contacte con nuestro equipo hoy mismo
Le espera una conversación confidencial y sin compromiso.