Parece que la Ley de Privacidad del Consumidor de California (CCPA) está en un estado de perpetua mutación. La última ronda de enmiendas está serpenteando en la Asamblea del Estado de California y, si se aprueban, proporcionarán alguna aclaración bienvenida o harán que la ley sea aún más desconcertante.
Varios proyectos de ley están ahora a la espera de ser votados por el Senado, después de haber pasado por el Comité de Asignaciones de la Asamblea de California, mientras que otros están todavía pendientes de la aprobación del comité.
Así pues, echemos un rápido vistazo a las 8 principales enmiendas de la CCPA que se encuentran actualmente en el expediente:
Definición de términos
Según la CCPA en su versión actual, la información personal se define ampliamente como cualquier información que "identifique, se refiera, describa, pueda asociarse o pueda vincularse razonablemente, de forma directa o indirecta, a un consumidor u hogar concreto". Evidentemente, esto incluye algunas formas de información disponible públicamente.
La información desidentificada no puede vincularse a un individuo sin la adición de otros puntos de datos, o se trata de datos que han sido tan modificados que sólo existe una posibilidad mínima de reidentificación. Desgraciadamente, la CCPA carece actualmente de claridad en cuanto al umbral para que los datos puedan considerarse razonablemente
desidentificado bajo la nueva ley.
Omer Tene, vicepresidente y director de conocimiento de la Asociación Internacional de Profesionales de la Privacidad, dijo:
"No creo que ninguno de estos proyectos de ley vicie la CCPA, sino que abordan la política abierta, los desafíos prácticos y las cuestiones ambiguas, y endurecen el lenguaje de la ley".
La parte superior de la pila
Hay 3 enmiendas que ya han sido aprobadas por la comisión de créditos.
-
El proyecto de ley 25 crearía una excepción para los datos de los empleados, de modo que la CCPA no se aplicaría a las solicitudes de empleo, a los empleados o a los contratistas.
Según Brian Kane, director de operaciones y cofundador de Sourcepoint:
"[Esto] es un cambio sustantivo que puede poner los datos de CRM de empresa a empresa y los registros de empleo fuera del alcance de la CCPA". -
El proyecto de ley 874 pretende suavizar la definición de información personal eximiendo la información recogida en los registros públicos. Esto irrita a la comunidad de la privacidad, porque representa una excepción para los corredores de datos que dependen de las bases de datos públicas.
-
El proyecto de ley 1355 también pretende aclarar el significado de la información personal excluyendo la información desidentificada y agregada de los consumidores.
Todavía es demasiado pronto para saber cuál de estos proyectos de ley será aprobado por el gobernador del estado. Sin embargo, las propuestas que aclaran aspectos ambiguos de la ley, como la AB 25, tienen más probabilidades de ser aprobadas, según Brandon Reilly, abogado especializado en privacidad y seguridad de datos del bufete Manatt, Phelps & Phillips.
Siguiente en la cola
-
El proyecto de ley 846 básicamente torpedearía los "requisitos de no discriminación" de la CCPA, que algunos ven como el final de la línea para los programas de fidelización.
-
El proyecto de ley 873 propone redefinir ligeramente el término "información personal", pasando de los datos que son "susceptibles de ser asociados" a una persona u hogar, a los datos que son "razonablemente susceptibles" de ser asociados.
Gary Kibel, socio de Davis & Gilbert, dijo:
El lenguaje existente es una preocupación, porque no significa nada - como cualquiera en la industria de la tecnología publicitaria sabe, usted puede emparejar cualquier cosa con cualquier cosa, ... La definición de "hogar" también está asustando a todo el mundo porque, ¿cómo se define un hogar? ¿Cuentan los compañeros de piso?". -
El proyecto de ley 981 eximiría a los proveedores de seguros de la obligación de cumplir con las solicitudes de supresión de datos, si estos son necesarios para completar una transacción. Esto es similar al concepto de interés legítimo del RGPD.
-
El proyecto de ley 1146 haría básicamente lo mismo, pero para la información sobre la reparación de vehículos.
-
El proyecto de ley 1564 exigiría a las empresas afectadas que ofrezcan a los consumidores un único método de comunicación para presentar solicitudes de información. La CCPA exige actualmente dos métodos para ponerse en contacto. Estos son una dirección de correo electrónico y un número de teléfono gratuito.
Pero espere. Hay más... Hay otro proyecto de ley muy importante que está dando vueltas y que, de aprobarse, daría poder a los consumidores. El Comité Judicial del Senado de California ha aprobado el proyecto de ley SB 561, que daría a los consumidores un derecho de acción privado, en respuesta a cualquier violación de la CCPA. Actualmente se limita a las violaciones de datos.
Esto permitiría a los consumidores demandar a las empresas que violen sus derechos de privacidad en virtud de la CCPA. El fiscal general de California apoya este proyecto de ley, que otorga al fiscal general mayores poderes para hacer cumplir la ley de la CCPA.
Lo que más llama la atención de la mayoría de las modificaciones propuestas es que no introducen "una reestructuración radical de las obligaciones fundamentales de la CCPA ni cambios importantes en los umbrales de aplicabilidad", dijo Reilly.
¿La ciencia del cumplimiento?
Dado que ya estamos casi a mitad de año, es probable que las enmiendas de la Asamblea avancen con bastante rapidez. Las que obtengan el "visto bueno" deberían estar en vigor en enero de 2020, que es cuando entra en vigor la CCPA.
Mientras tanto, las empresas se encuentran en una situación de espera de cumplimiento, dijo Kibel, señalando una "línea de tiempo comprimida".
Continuó: "Si las enmiendas se aprueban en septiembre u octubre, eso puede ser más o menos cuando se publique el reglamento de aplicación del fiscal general y tres o cuatro meses antes de la fecha de inicio de la ley", y añadió: "Hay mucha incertidumbre sobre cómo gestionar el cumplimiento, especialmente entre las empresas de tecnología publicitaria, porque todavía hay muchas piezas en movimiento y el reglamento aún no se ha publicado."
