Nevada ha añadido un nuevo derecho de exclusión para dar mayor protección a la privacidad de los consumidores del estado.
La aprobación de la Ley de Privacidad del Consumidor de California (CCPA), en junio del año pasado, supuso un poderoso incentivo para que los estados de EE.UU. reforzaran sus propias leyes de privacidad del consumidor, para dar a sus residentes un mayor control sobre la forma en que las empresas recogen, utilizan y venden su información personal.
En este artículo, analizamos cómo el estado de Nevada ha seguido el ejemplo de California, mejorando su ley de privacidad de datos para ofrecer a los consumidores el derecho a decir no a la venta de sus datos personales, mediante una opción de exclusión voluntaria que debe aparecer en los sitios web de todas las empresas cubiertas ("operadores")*.
*SB-220 actualiza la definición de "operador" para excluir tanto a las instituciones financieras sujetas a la Ley Gramm-Leach-Bliley (GLBA), como a las instituciones sanitarias sujetas a la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA).
El proyecto de ley SB 220, la ley de privacidad del consumidor de Nevada, amplía el alcance de la protección del consumidor, regulando la venta de información personal de los consumidores por parte de una empresa.
¿Cómo proporciona el SB 220 una mayor protección de la privacidad?
El proyecto de ley SB 220 seguro que va a irritar a las empresas que ya se apresuran a cumplir con la CPA. Los operadores afectados tendrán que dedicar más tiempo y recursos para garantizar el cumplimiento de los derechos de exclusión de Nevada, antes de que el requisito entre en vigor.
El requisito más importante de Nevada es que los operadores deben mostrar un aviso de privacidad en sus sitios web, que revele:
- las categorías de información recogidas;
- las categorías de terceros con los que la empresa comparte información personal;
- un proceso que permite a los consumidores revisar y solicitar cambios en su información personal;
- un proceso para la notificación de cambios importantes en la notificación; y
- si la empresa recopila información sobre las actividades en línea de un individuo.
El proyecto de ley 220 define la venta como un intercambio, a cambio de dinero, de "información cubierta" sobre un individuo.
La nueva ley define la "información cubierta" como información de identificación personal, que incluye:
- Nombre y apellidos;
- Una dirección residencial o física que incluye el nombre de una calle y el nombre de una ciudad o pueblo;
- Una dirección de correo electrónico;
- Un número de teléfono;
- Un número de la Seguridad Social;
- Un identificador que permita ponerse en contacto con una persona concreta, ya sea físicamente o en línea.
- Cualquier otra información relativa a un individuo, y mantenida en una forma que hace que dicho individuo sea identificable personalmente.
La ley de privacidad de los consumidores de Nevada ofrece ahora a los consumidores el derecho a ordenar a los operadores que no realicen ninguna "venta" de la "información cubierta" que el operador haya recogido o vaya a recoger en relación con el consumidor.
Los operadores también están obligados a establecer una dirección de solicitud designada, que permita a los consumidores presentar solicitudes de exclusión. Estas direcciones pueden adoptar la forma de un sitio web, una dirección de correo electrónico o un número de teléfono gratuito.
Una vez que un operador ha recibido una solicitud de este tipo por parte de un consumidor, se le prohíbe vender cualquier información cubierta que haya recogido, o recoja en el futuro, relativa a ese consumidor.
Un operador debe responder a las solicitudes de exclusión "verificadas" en un plazo de 60 días tras la recepción de la solicitud, siempre que pueda:
- Verificar razonablemente la autenticidad (genuinidad) de la solicitud; y
- La identidad del consumidor
El término "solicitud verificada" se define como aquella para la que "un operador puede verificar razonablemente la autenticidad de la solicitud y la identidad del consumidor utilizando medios comercialmente razonables", aunque el SB-220 no define realmente lo que se considera "medios comercialmente razonables".
¿Rebajas? ¿Qué venta?
A efectos de la ley, el término "venta" se define como "el intercambio de información cubierta a cambio de una contraprestación monetaria por parte del operador a una persona para que ésta conceda una licencia o venda la información cubierta a otras personas".
Sin embargo, hay ciertas excepciones a esta definición. La primera es la transferencia de datos a terceros proveedores de servicios que tratan los datos en nombre del operador del sitio web que recoge los datos del consumidor.
En segundo lugar, también se excluye de la definición de "venta" cualquier revelación de datos "coherente con las expectativas razonables de un consumidor teniendo en cuenta el contexto en el que el consumidor proporcionó la información cubierta".
Hay que señalar que esta excepción concreta ofrece a las empresas afectadas cierto margen de maniobra para revelar datos a terceros, siempre que las revelaciones estén "dentro de las expectativas razonables" del consumidor. Por ejemplo, una transferencia de datos que se notifique al consumidor a través de un aviso de privacidad en el operador podría entrar en los límites de las "expectativas razonables" de un consumidor".
Aplicación de la ley
La aplicación de la ley de privacidad del consumidor de Nevada depende del Fiscal General del Estado, Aaron Ford.
Afortunadamente para las empresas afectadas, el SB 220 no establece un derecho de acción privado para que los residentes de Nevada puedan emprender acciones legales por las violaciones del nuevo requisito de exclusión.
Las empresas que infrinjan cualquier aspecto de la ley estatal de privacidad en línea pueden esperar sanciones civiles de hasta $5.000 por infracción, además de un requerimiento judicial temporal o permanente, tras ser notificadas de la infracción, junto con una oportunidad de subsanación por parte del Fiscal General de Nevada.
Pasos vitales para el cumplimiento del SB 220
Con poco tiempo antes de que entre en vigor la disposición de exclusión de Nevada, las empresas afectadas harían bien en tomar medidas ahora, para cumplir con este nuevo requisito.
- Comience por establecer una "dirección de solicitud designada" para que los consumidores presenten sus directivas de exclusión. Es una suerte que las empresas tengan cierto grado de flexibilidad con este requisito. Las opciones son:
a) una dirección de correo electrónico específica;
b) un número de teléfono gratuito; o
c) un sitio web para que los usuarios presenten solicitudes de exclusión voluntaria También es aconsejable que las empresas apliquen las actualizaciones necesarias a sus avisos de privacidad. En particular, deben incluir instrucciones sobre cómo presentar solicitudes de exclusión. - Las empresas afectadas deberán implantar procedimientos y sistemas para recibir y procesar las solicitudes de exclusión voluntaria. Esto también requerirá un proceso para revisar dichas solicitudes "verificando razonablemente" la autenticidad de cada una de ellas y comprobando la identidad del consumidor solicitante mediante el uso de "medios razonablemente comerciales."
La verificación puede realizarse a través de los datos de la cuenta del consumidor, si éste tiene una cuenta activa en la empresa. Otro método podría ser a través de los datos de acceso del consumidor. Como alternativa, las empresas afectadas también pueden utilizar normas reconocidas por el sector, como las directrices de identidad digital del NIST, para que sirvan de plantilla para la elaboración de protocolos de verificación.
- Es importante que las empresas afectadas cuenten con políticas y procedimientos adecuados para satisfacer las solicitudes de exclusión de los consumidores dentro del plazo de 60 días. Las empresas deben crear y documentar un proceso eficaz de cumplimiento de la exclusión voluntaria que garantice que no se vendan los datos cubiertos de ningún consumidor que haya optado por la exclusión voluntaria, después de recibir una solicitud de exclusión voluntaria.
- Dado que la disposición de exclusión voluntaria es un derecho complejo, es vital que las empresas afectadas proporcionen una formación adecuada a todos los miembros del personal sobre cómo gestionar correctamente las solicitudes de exclusión voluntaria de los consumidores. Es esencial que las empresas proporcionen formación general sobre privacidad a todos los empleados, además de una formación más detallada sobre las funciones específicas de los empleados que son directamente responsables de procesar las solicitudes de exclusión.
Conclusión:
Miles de empresas de todo Estados Unidos están ultimando los trabajos necesarios para cumplir con la CCPA a tiempo para su fecha de entrada en vigor, el 1 de enero de 2020.
Ahora, con la última modificación de la ley de privacidad del consumidor de Nevada, estas empresas tienen una tarea considerablemente mayor en sus manos.
Con menos de tres meses para cumplir con el SB 220, será un reto mantenerse al día de los muchos otros requisitos que sin duda surgirán, a medida que más y más estados promulguen sus propias leyes de privacidad de los consumidores para proporcionar a sus residentes los controles necesarios similares sobre su información personal, junto con la capacidad de evitar que sus datos sean vendidos a todo el mundo.