Las grandes empresas tecnológicas prefieren la ley federal de privacidad
Las discusiones entre las grandes empresas tecnológicas y los legisladores sobre lo que es una legislación justa, y lo que podría impedir injustamente los esfuerzos de las empresas tecnológicas para vender sus productos, no parece que vayan a disminuir pronto. Curiosamente, según un informe de FortuneFacebook, Google, Apple y la Asociación de Internet, que presiona en nombre de sus miembros, como Amazon, Facebook, Twitter y Airbnb, dicen que apoyan las leyes federales destinadas a proteger la privacidad de los usuarios. Sin embargo, en lo que difieren las empresas con muchos defensores de la privacidad es en los detalles.
Varias empresas tecnológicas están adoptando la legislación federal, hasta cierto punto, porque de otro modo tendrían que atenerse a una mezcolanza de leyes estatales. Ya se están preparando para la Ley de Privacidad del Consumidor de California, la primera ley estatal del país sobre privacidad de datos, que entrará en vigor en 2020.
Los responsables políticos están cada vez más preocupados por la forma en que las empresas recogen, almacenan y utilizan los datos de los consumidores. Y eso se ha convertido en una presión para establecer normas sobre cómo las empresas deben proteger la información de los consumidores y cómo deben ser más transparentes sobre el uso de esos datos."
Como ocurre con cualquier legislación nueva, se proponen varias enmiendas que se aprueban o rechazan antes de que la nueva ley entre en vigor. Y la CCPA no es una excepción. El Fiscal General de California está proponiendo actualmente más enmiendas a la ley CCPA. Sin embargo, se teme que estas últimas propuestas no sean de mucha ayuda para las empresas que están luchando con cómo para cumplir con la ley, y algunos afirman que las enmiendas propuestas, si se aprueban, servirán para incentivar a los ejecutores privados a presentar demandas, incurriendo en sanciones severas incluso en los casos en que las supuestas violaciones no causen ningún daño real.
Sin embargo, es poco probable que se renuncie a las sanciones impuestas por incumplimiento simplemente porque el acusado "no lo sabía". Como dice el refrán, "la ignorancia de la ley no es excusa".
Dicho esto, la ley de privacidad de California debe ir acompañada de una aclaración adecuada, con el fin de promover una comprensión clara y facilitar el cumplimiento, al tiempo que se limitan los recursos privados adaptándolos a la culpabilidad de las acciones y la conducta del acusado.
Lecciones de la experiencia del GDPR
El reto de hacer cumplir la ley de privacidad de datos, al tiempo que se educa a los usuarios de datos sobre cómo lograr el cumplimiento, no es una tarea fácil para cualquier organismo regulador. De hecho, antes de que el Reglamento General de Protección de Datos (RGPD) se convirtiera en ley, la Oficina del Comisionado de Información (OCI) del Reino Unido ya estaba ocupada creando una ayuda exhaustiva en su sitio web, respondiendo a las preguntas más frecuentes, así como proporcionando instrucciones claras y listas de comprobación del cumplimiento para todo tipo de organizaciones, ya sean entidades comerciales, sin ánimo de lucro, departamentos gubernamentales, escuelas, iglesias u organizaciones benéficas. El volumen de información y orientación útil publicado por la ICO ha crecido considerablemente desde antes de que el GDPR entrara en vigor en mayo de 2018.
Sin embargo, a pesar de los esfuerzos de la OIC, los propietarios de pequeñas empresas de todo el Reino Unido admiten, en una encuesta reciente, que aún no tienen ni idea del RGPD.
50% de las 1.000 empresas encuestadas confesaron estar confundidas con las normas de protección de datos y privacidad. Como resultado, los propietarios y empleados de las empresas siguen cometiendo errores, o tienen procesos ilegales que podrían acarrear multas multimillonarias.
Más de 25% de las empresas permitieron a los empleados utilizar sus propios ordenadores, tabletas y teléfonos con fines laborales. Esto contraviene las normas de privacidad de datos, ya que los datos personales podrían almacenarse sin cifrar en casa.
Sorprendentemente, la última ronda de enmiendas propuestas a la CCPA incluye la eliminación de la obligación del AG de proporcionar orientación a las empresas, previa solicitud, sobre cómo cumplir con la CCPA.
La CCPA en pocas palabras
La CCPA entrará en vigor el 1 de enero de 2020, aunque su aplicación efectiva se ha aplazado hasta el 1 de julio de 2020. En términos sencillos, la nueva ley otorga a los consumidores de California el derecho a exigir que una empresa que recoge información personal sobre el consumidor revele:
-
las categorías de fuentes de las que se recoge su información personal,
-
las categorías de terceros con los que se comparten sus datos personales, y
-
los elementos específicos de su información personal que se recogen y comparten.
Además, la ley concede a los consumidores californianos el derecho a excluirse de la "venta" de su información personal por parte de una empresa sujeta a la CCPA.
La CCPA se aplica a las empresas que:
-
tener unos ingresos brutos anuales iguales o superiores a $25.000.000; o
-
compran o reciben anualmente con fines comerciales la información personal de 50.000 o más consumidores, hogares o dispositivos; o
-
obtienen 50% o más de sus ingresos anuales de la venta de información personal de los consumidores.
La ley de privacidad de California, en su forma actual, permite las demandas de particulares cuya "información personal no cifrada o no censurada, ...es objeto de un acceso no autorizado y de exfiltración, robo o divulgación como resultado de la violación por parte de la empresa de la obligación de aplicar y mantener procedimientos y prácticas de seguridad razonables y adecuados a la naturaleza de la información para proteger la información personal".
El demandante debe notificar el incumplimiento reclamado con 30 días de antelación, dando a la empresa notificada la oportunidad de subsanarlo. El derecho de acción privada permite a los demandantes solicitar sanciones civiles de $100 a $750 por "consumidor y por incidente", o daños reales, lo que sea mayor.
Además de las demandas individuales, el Fiscal General está autorizado a reclamar hasta $7.500 en concepto de sanciones civiles por cada infracción intencionada, o $2.500 por cada infracción no intencionada que no se subsane en los 30 días siguientes a la recepción del aviso de infracción.
Implicaciones de la CCPA en su forma actual
Se ha informado de que varios aspectos de la CCPA en su forma actual plantean preocupaciones particulares para las empresas.
Divulgación y exclusión de la venta de información personal
Las empresas tienen una gran cantidad de opciones de soluciones de "software como servicio" (SaaS) de terceros cuando se trata de optimizar las operaciones comerciales de cara al cliente. Mientras que el RGPD tiene en cuenta las relaciones de SaaS al requerir acuerdos de procesamiento de datos por parte de los "controladores de datos" y los "procesadores de datos", para que cada uno tenga un conjunto de obligaciones jurídicamente vinculantes en relación con el procesamiento de la información personal, la CCPA hace que el controlador de datos sea responsable del procesamiento (o "venta" según la CCPA) de la información personal.
Por lo tanto, para cumplir con los requisitos de divulgación (sección 1798.110) y/o las solicitudes de exclusión (sección 1978.120), una empresa debe mantener una lista de sus proveedores de SaaS, así como la información personal exacta recopilada por esos proveedores. Además, deben declarar si esta información personal es posteriormente "desidentificada" (según la Sección 1798.125(h)) por cada proveedor de SaaS aplicable.
Aquí es donde suele ser necesaria la designación de un profesional de la privacidad de datos debidamente cualificado, ya que tratar de entender y aplicar estas obligaciones puede ser una tarea seriamente desalentadora. En primer lugar, las obligaciones de una empresa en virtud de estas secciones sólo se producen cuando recibe una "solicitud verificable del consumidor". Desgraciadamente, el actual mandato legal del término "solicitud verificable del consumidor" no explica cómo debe una empresa verificar una solicitud de este tipo, sin alguna información personal adicional, que el individuo en cuestión puede no querer proporcionar. Hasta ahora, el fiscal general no ha proporcionado ninguna orientación sobre cómo deben prepararse las empresas para recibir solicitudes de los consumidores.
Otro rompecabezas sin solución aparente se refiere a la gestión precisa de las solicitudes verificables de exclusión de los consumidores. Una vez que una empresa elimina los datos de un consumidor a raíz de una solicitud de este tipo, ¿está legalmente autorizada a conservar cualquier dato personal del consumidor, con el fin de demostrar que efectivamente llevó a cabo la solicitud, tal como prescribe la CCPA? Actualmente, el proyecto de ley no ofrece ninguna pista sobre esta cuestión.
Información personal de los empleados
A pesar de llamarse "Ley de Privacidad del Consumidor de California", la ley podría interpretarse de manera que incluya los datos personales de los empleados de una empresa. Según la CCPA, la definición de "consumidor" es "una persona física residente en California". Curiosamente, las conclusiones legislativas reconocen que "es casi imposible solicitar un trabajo... sin compartir información personal"; y la definición de "información personal" incluye "información profesional relacionada con el empleo".
En el contexto del empleo, hay dos casos en los que la CCPA permite a una empresa rechazar una solicitud de supresión, relacionados con las operaciones internas de la empresa:
-
"para permitir únicamente usos internos que se ajusten razonablemente a las expectativas del consumidor en función de su relación con la empresa"; y
-
para "utilizar de otra manera la información personal del consumidor, internamente, de una manera legal que sea compatible con el contexto en el que el consumidor proporcionó la información".
Aunque pueda parecer que estas excepciones permiten a las empresas conservar varios datos de los empleados, es esencial que entiendan cómo seguir cumpliendo con la CCPA, al tiempo que mantienen los registros de los empleados -en particular cuando los registros contienen información personal de antiguos empleados- que se mantienen de acuerdo con la política de conservación de registros de la empresa.
Las últimas modificaciones propuestas
En un momento en que las empresas pensaban que tenían al menos cierta comprensión de cómo funcionará la CCPA desde una perspectiva de aplicación y sanción, el Fiscal General de California, Xavier Becerra, apoyó plenamente la introducción del proyecto de ley del Senado 561 el 22 de febrero de 2019.
No debería sorprender que el fiscal general apoye los cambios propuestos, ya que eliminan algunos de los mayores dolores de cabeza para la aplicación y la administración. Entre ellos, la eliminación de la obligación del fiscal general de proporcionar orientación a las empresas que lo soliciten sobre cómo cumplir con la CCPA, y la supresión de un período de subsanación de 30 días antes de que puedan iniciarse las acciones de aplicación, aunque el período de subsanación de 30 días para las reclamaciones individuales sigue vigente.
Esto podría suponer un ligero alivio para las reclamaciones individuales. Sin embargo, es dudoso que una empresa pueda "subsanar" algo tan grave como una violación de datos, u otra infracción como la falta de respuesta a una solicitud del consumidor dentro del plazo actualmente impuesto. Posiblemente, la subsanación de 30 días podría proporcionar cierto grado de defensa contra las violaciones técnicas "de minimis", como el hecho de no proporcionar un lenguaje de notificación adecuado, revelaciones o información de contacto para los consumidores. Se podría argumentar que incluso la falta de respuesta adecuada a una notificación de subsanación podría, en sí misma, dar lugar a una reclamación por daños y perjuicios.
En este momento, no está claro si el SB 561 será aprobado. Incluso en su forma actual, el derecho de acción privada podría crear responsabilidades significativas para las empresas, que son totalmente desproporcionadas con respecto al daño real (ya que la ley no requiere un daño real), o la culpabilidad (porque la ley impone la responsabilidad de las violaciones no intencionales, no negligentes.
Y mientras las empresas consideran las posibles consecuencias comerciales, la ley también puede tener algunas consecuencias no deseadas para los consumidores. La CCPA podría restringir el uso de datos que actualmente permite a los clientes (que lo desean) tener experiencias de compra online más personalizadas porque:
-
podría tener un impacto negativo en la capacidad del consumidor de recibir descuentos a través de programas de fidelización, o de utilizar aplicaciones gratuitas pagadas por la publicidad; y
-
las empresas harán recaer inevitablemente el coste del cumplimiento de la CCPA sobre los consumidores; y
-
en la medida en que las empresas excluyan a los consumidores de California de sus actuales programas de promoción empresarial, los consumidores del estado pueden verse perjudicados.
CCPA: No es el único niño nuevo en el bloque
Es ampliamente reconocido que, aunque la CCPA se basó en gran medida en el GDPR de la UE, también es la primera legislación integral sobre privacidad de datos que se introduce en los EE.UU. A medida que varios otros estados desarrollan sus propias leyes de privacidad basadas en la CCPA, otros también están considerando una legislación similar. Además, el Congreso sigue debatiendo y creando, aunque lentamente, una nueva ley federal de privacidad.
Esto significa que las empresas tendrán mucho trabajo, ya que no sólo tendrán que cumplir con las estrictas leyes de privacidad de California, sino también con las leyes promulgadas en otros estados, así como con las leyes federales, que muy probablemente impondrán requisitos diferentes.
Si las empresas quieren cumplir con la CCPA, así como con una ley federal, además de las leyes de privacidad de otros estados, tendrán que adquirir un conocimiento suficiente de las mismas. Algunos sostienen que un enfoque unificado de la privacidad de los datos tiene mucho más sentido que la mezcolanza de leyes estatales que parece estar surgiendo. Se puede debatir si esto ocurrirá pronto.
Mientras tanto, aunque el Fiscal General de California apoya la medida de rescindir cualquier obligación de proporcionar orientación a las empresas que simplemente piden alguna orientación sobre cómo cumplir con la ley, California debe considerar si los requisitos de la CCPA son lo suficientemente claros para que su cumplimiento sea factible.
Fuentes: Oficina del Fiscal General de California, Fortuna
Comparta sus opiniones o preocupaciones sobre la CCPA. ¿Cómo va su preparación para el cumplimiento? ¿En qué podemos ayudarle?