No es ningún secreto que los grupos de presión han estado trabajando horas extras en sus intentos de descarrilar la Ley de Privacidad del Consumidor de California (CCPA) antes de que se convierta en ley el 1 de enero de 2020. También es ampliamente conocido que algunos de estos grupos están presionando en nombre de ciertos gigantes tecnológicos, que ven la nueva ley de privacidad como una amenaza para sus prácticas de recopilación de datos.
Pero el asunto es el siguiente. Mientras que la CCPA ha sido, hasta ahora, el leviatán de los proyectos de ley de privacidad de datos de EE.UU., otro estado está flexionando los músculos más grandes con su propio sabor de la legislación de privacidad de datos.
El mes pasado, el senador estatal Kevin Thomas anunció la Ley de Privacidad de Nueva York (NYPA). El proyecto de ley parece que dará a los residentes del Estado del Imperio un control mucho mayor sobre sus datos personales que las protecciones ofrecidas por cualquier otro Estado. Actualmente se está buscando un copatrocinador para el proyecto de ley en la asamblea estatal. Sin embargo, el senador Thomas cree que cuenta con el apoyo de la mayoría del Senado y espera que el proyecto se apruebe durante el verano.
Desde que California aprobó la CCPA el año pasado, los grupos de presión de la industria y los grupos de consumidores han estado discutiendo sobre su lenguaje. Numerosas empresas se han quejado de que la CCPA es demasiado amplia y de que esperar que se cumpla con una plétora de leyes estatales de privacidad diferentes es irrazonable e inviable. Cada vez más, las empresas que hacen negocios en todo EE.UU. están indicando su preferencia por una regulación de la privacidad a nivel nacional en el ámbito federal.
Ir más allá de la CCPA
El proyecto de ley de privacidad de Nueva York se hace eco de algunas de las protecciones de la CCPA, como permitir a los consumidores ver qué datos se están recopilando sobre ellos, y quién más tiene acceso a esos datos. También pueden solicitar que se corrijan o borren, así como el derecho a negarse a que sus datos se vendan o compartan con terceros.
Sin embargo, en su actual redacción, la NYPA va más allá que la CCPA. Mientras que la aplicación de la ley californiana depende exclusivamente del fiscal general, la ley neoyorquina permite a los neoyorquinos interponer directamente demandas civiles en caso de violación de la privacidad. Esto podría llevar a un gran número de empresas a ser demandadas por los residentes de Nueva York.
En California, los grupos de presión se opusieron ferozmente a la provisión de un derecho de acción privado y lograron que se eliminara de la CCPA antes de que se promulgara finalmente el año pasado. Y mientras que la CCPA sólo se aplica a las empresas con una facturación anual bruta de $25 millones, la NYPA se aplicaría a empresas de todos los tamaños.
Al igual que la CCPA, el proyecto de Nueva York ya está siendo atacado por algunos miembros del sector tecnológico. Uno de los críticos más destacados del proyecto de ley es John Olsen, de la Asociación de Internet, que ha declarado:
La Ley de Privacidad de Nueva York, en su forma actual, es inviable para las empresas que quieren cumplirla y no proporciona a los residentes de Nueva York un control significativo sobre cómo se recogen, utilizan y protegen sus datos,
Curiosamente, la empresa de Olsen representa los intereses de Google, Amazon, Facebook y Microsoft.
Antes de presentar el proyecto de ley de Nueva York, el senador Thomas se reunió con miembros de la Asociación de Internet para escuchar lo que les gustaba y lo que no les gustaba de otras normativas sobre privacidad de los consumidores, como la CCPA y el Reglamento General de Protección de Datos (GDPR) de Europa. Sin embargo, a pesar de la oposición de la industria a varias disposiciones de la NYPA, Thomas siguió adelante con el proyecto tal y como estaba redactado, que incluye protecciones como el derecho de acción privada y el requisito de que las empresas deben obtener el consentimiento positivo de los consumidores antes de procesar, compartir o vender su información personal, tal y como establece el GDPR.
Fiduciarios de datos
Otra fuerte protección del proyecto de ley de Nueva York exigiría a las empresas actuar como "fiduciarias de datos". La inclusión de este término significa básicamente que las empresas tendrían prohibido legalmente utilizar los datos personales de forma que beneficien a sus negocios en detrimento de los consumidores. El concepto surgió del profesor de la Facultad de Derecho de Yale, Jack Balkin, un firme defensor de la idea, como solución alternativa a los problemas de privacidad de los datos. Balkin y su coautor, el profesor de Harvard Jonathan Zittrain, escribieron en The Atlantic:
Para hacer frente a los nuevos problemas que crean las empresas digitales, necesitamos adaptar las viejas ideas jurídicas para crear un nuevo tipo de ley; una que establezca claramente los tipos de obligaciones que las empresas en línea deben a sus usuarios y clientes finales, ... La obligación más básica es el deber de velar por los intereses de las personas cuyos datos las empresas cosechan regularmente y se benefician de ellos.
Al parecer, Thomas estuvo de acuerdo con este sentimiento cuando dijo:
Los fiduciarios, como un abogado o un médico, conservan tu información. No la comparten, a menos que sea necesario para el propósito para el que la recogieron, ... Eso no es lo que está pasando aquí con estas empresas de datos y estos corredores de datos. Lo están compartiendo, y estamos siendo blanco de ataques.
El Sr. Kolchak explicó que ya es hora de que las empresas que recopilan los datos de las personas empiecen a preocuparse por ellas, y no sólo por sus resultados. Para ello, el proyecto de ley neoyorquino no solo exigiría a las empresas que "protejan razonablemente" los datos de los usuarios y les informen de las violaciones de datos -estipulaciones que la mayoría de los gigantes tecnológicos ya están cumpliendo-, sino que también les prohibiría utilizar los datos de forma que causen a los usuarios algún tipo de daño financiero o físico o de una manera que resulte "inesperada y altamente ofensiva para un consumidor razonable".
El proyecto de ley establece que cualquier entidad con la que la empresa comparta o venda datos debe asumir estos mismos deberes, lo que obliga a las empresas a seguir el rastro, a menudo tortuoso, de los datos en su circulación por la red. También establece que este deber sustituye a los demás deberes fiduciarios de las empresas para con los accionistas.
Tras la presentación del proyecto de ley, Kia Floyd, una de las responsables de políticas de Facebook, se reunió con el senador Thomas para exponerle la preocupación del gigante de las redes sociales por los requisitos fiduciarios de los datos. "Facebook dijo básicamente: 'No podemos cumplir con esto. Tendríamos que cerrar Facebook en Nueva York'", recordó Thomas.
Un portavoz de Facebook argumentó que se trataba de una "caracterización inexacta de la reunión", al tiempo que admitía que a Facebook le preocupa el proyecto de ley de Nueva York. Facebook se opone con vehemencia a la inclusión de un derecho de acción privado y, lo que dice es un lenguaje demasiado amplio en relación con los fiduciarios de datos, refiriéndose a una línea en el proyecto de ley que establece que las empresas estarían obligadas a "actuar en el mejor interés del consumidor". Facebook argumenta que los diferentes consumidores tienen diferentes intereses cuando se trata del uso de sus datos..." En una declaración, Floyd dijo:
Aunque el concepto de fiduciario de datos merece la pena ser explorado más a fondo, creemos que la legislación sobre privacidad debe proporcionar a los consumidores un conjunto claro de derechos que puedan ejercer, y este proyecto de ley necesitará más trabajo para lograrlo,
No sólo los actores de la industria tecnológica están analizando el concepto de fiduciario de datos. Lina Khan, de la Subcomisión de Derecho Antimonopolio, Comercial y Administrativo de la Cámara de Representantes, sostiene que es incompatible con las leyes existentes en Delaware, donde se han constituido innumerables empresas tecnológicas. El estado ya exige a las empresas que maximicen el rendimiento para los accionistas. "Un fiduciario con lealtades profundamente divididas se tambalea al borde de la contradicción", escribieron Khan y su colega David Pozen, profesor de Derecho de Columbia, en marzo...
En la medida en que los intereses de los accionistas y de los usuarios son divergentes, los funcionarios y directores de estas empresas pueden verse en la insostenible situación de tener que violar sus deberes fiduciarios (para con los accionistas) bajo la ley de Delaware para cumplir con sus deberes fiduciarios [para con los usuarios finales] bajo el nuevo cuerpo legal que propone Balkin.
NYPA: ¿El próximo campo de batalla para la regulación de la privacidad a nivel estatal?
Por su parte, la Data Care Act, un proyecto de ley federal sobre privacidad presentado en el Senado a finales del año pasado por el demócrata hawaiano Brian Schatz, también incluía requisitos para los fiduciarios de datos. Sin embargo, esta ley difiere de la NYPA, ya que deja su aplicación en manos de la FTC y de los fiscales generales de los estados. Como es lógico, las empresas tecnológicas parecen preferir este enfoque. Además, no hay normas relativas al consentimiento u otros controles que los consumidores deben tener en relación con las formas en que se almacena, comparte o vende su información personal.
Es bastante obvio que el objetivo final de la industria tecnológica es ver las leyes de privacidad a nivel federal, anulando todas las leyes estatales. Las empresas ya han dejado clara su opinión de que cumplir con una miríada de normas es una carga demasiado grande para soportarla. Y se considera que este es el inconveniente de los proyectos de ley cada vez más convincentes presentados por California y Nueva York.
Ashkan Soltani es un antiguo tecnólogo jefe de la FTC, que colaboró en la creación de la CCPA. Soltani comentó que cuanto más difieren las leyes estatales entre sí en cuanto a sus definiciones y requisitos, más fácil resulta para los grupos empresariales convencer al Congreso de que el cumplimiento de las leyes estatales es un obstáculo insuperable. Y añadió:
Hay una serie de empresas y grupos de presión que han estado presionando a diferentes estados para que presenten versiones ligeramente diferentes de la ley de privacidad, ... La industria tiene una estrategia para tratar de dividir a los estados, para que puedan justificar el derecho de preferencia.
Thomas espera aprobar el proyecto de ley antes de la última sesión de la legislatura neoyorquina, el 19 de junio. Se espera que haya una batalla de voluntades, ya que tanto la Asociación de Internet como grupos de defensa de los consumidores, como la Unión de Libertades Civiles de Nueva York, tienen previsto testificar en la audiencia del martes.
Si se aprueba la Ley de Privacidad de Nueva York, es probable que siga los pasos de California y vea varias enmiendas antes de convertirse finalmente en ley. Y, al igual que la CCPA, garantizará una protección de datos sin precedentes para los ciudadanos del estado de Nueva York.
Mientras tanto, los guerreros de la industria tecnológica se rearmarán, sin duda, en su implacable batalla en el Capitolio, para impedir que se promulguen leyes estatales de privacidad.
Este artículo se proporciona únicamente con fines informativos. El Grupo de Privacidad de Datos le recomienda encarecidamente que contrate los servicios de un profesional con experiencia en privacidad de datos cuando se prepare para cumplir con cualquier legislación de protección de datos y privacidad.
Fuentes, créditos y lecturas adicionales: Conectado,