En sólo 145 días entrará en vigor la Ley de Privacidad del Consumidor de California (CCPA).
Basada en el Reglamento General de Protección de Datos (RGPD) de Europa, o al menos muy influenciada por él, la CCPA es la primera ley estatal de este tipo que otorga a los residentes de California el control sobre sus datos personales. La nueva legislación está en su fase final de modificación antes de convertirse en ley el 1 de enero de 2020.
Sin embargo, parece que la CCPA no es la ley de privacidad más dura a nivel estatal, como alaban sus partidarios...
En el otro lado de los Estados Unidos hay un nuevo niño en el bloque.
La Ley de Privacidad de Nueva York (NYPA) se anuncia como una ley de privacidad aún más estricta. Una ley que va mucho más allá que la CCPA.
El proyecto de ley de privacidad de Nueva York se hace eco de muchas de las protecciones incluidas en la CCPA, como la revelación a los consumidores de los datos que se tienen sobre ellos y de quién tiene acceso a sus datos. Los neoyorquinos también podrán solicitar la corrección o eliminación de sus datos, así como el derecho a rechazar la venta o el intercambio de sus datos con terceros.
Pero ahí termina cualquier similitud con la ley de California.
Mientras que la aplicación de la CCPA corresponde exclusivamente al fiscal general de California, sin ninguna forma de reparación civil para los consumidores, la NYPA permite a los neoyorquinos interponer directamente demandas civiles en caso de violación de la privacidad. Esto podría llevar a un gran número de empresas a ser demandadas por los residentes de Nueva York.
En California, los grupos de presión se opusieron ferozmente a la provisión de un derecho de acción privado y lograron que se eliminara de la CCPA. Y mientras que la CCPA sólo se aplica a las empresas con una facturación anual bruta de $25 millones, la NYPA se aplica a empresas de todos los tamaños.
Parece que la principal justificación de la NYPA tiene que ver con el uso de los medios sociales. En 2018 se descubrió que el 69% de los estadounidenses utilizaban mayoritariamente las plataformas de medios sociales para comunicarse y recibir noticias, así como para relacionarse con grupos políticos y sociales.
Sin embargo, muchos usuarios informaron de su preocupación por la forma en que se manejaban sus datos. Y sus preocupaciones han estado plenamente justificadas, ya que han aparecido abundantes noticias sobre el mal manejo de los datos personales y los incidentes de violaciones de datos que involucran a grandes empresas tecnológicas como Facebook, Google y Yahoo, por no hablar de los principales bancos como HSBC y Capital One.
La nueva y dura ley de privacidad de Nueva York
La Ley de Privacidad de Nueva York (proyecto de ley S.5642) fue presentada por el senador Kevin Thomas hace apenas dos meses, en mayo de 2019. El proyecto de ley está siendo revisado por el Comité de Protección del Consumidor del Senado.
De acuerdo con el estatuto, la NYPA lo haría:
exigen a las empresas que revelen sus métodos de desidentificación de la información personal, que establezcan garantías especiales en torno al intercambio de datos y que permitan a los consumidores obtener los nombres de todas las entidades con las que se comparte su información.
La ley de privacidad de Nueva York, si se aprueba, obligaría a las empresas a seguir el enfoque de "la privacidad antes que los beneficios". Esto se consigue adoptando un concepto comúnmente conocido como "fiduciario de la información".
En términos sencillos, se espera que las empresas actúen en el mejor interés de sus clientes, sin tener en cuenta los intereses de la empresa. También tendrían un deber de diligencia, es decir, de actuar de la manera que esperaría un cliente razonable en esas circunstancias.
Así, cuando un consumidor proporciona información personal a una empresa en línea para obtener un servicio, esa empresa tiene el deber fiduciario de ejercer lealtad y cuidado en la forma en que utiliza la información del consumidor. Esto no sustituye en absoluto a otras protecciones de la privacidad.
La NYPA establece que, en el marco de este deber fiduciario, las personas jurídicas no utilizarán, tratarán o transferirán a un tercero los datos personales de los interesados sin su consentimiento expreso y documentado. Todas las personas jurídicas y sus filiales que recojan, vendan o concedan licencias de datos personales estarán obligadas a cumplir el deber fiduciario.
Esto significa básicamente que una empresa no puede utilizar los datos personales de un consumidor de ninguna manera que sea perjudicial para el consumidor (sujeto de los datos), y que dicho perjuicio podría haber sido razonablemente previsto. Esto, en sí mismo, requiere que las empresas tengan la obligación de aplicar las salvaguardias adecuadas, con el fin de proteger los datos personales, y de notificar a los consumidores con prontitud en caso de violación de los datos.
La nueva ley de privacidad de Nueva York también establece una amplia gama de riesgos para la privacidad, de los que las empresas están obligadas a proteger a los consumidores. Entre ellos se encuentran:
-
pérdidas financieras (directas e indirectas);
-
daños físicos y psicológicos;
-
un inconveniente importante;
-
consecuencias adversas relacionadas con los beneficios legales de un sujeto de datos;
-
el daño a la reputación; y
-
discriminación de precios
El estatuto establece que cualquier residente del Estado de Nueva York "perjudicado por una violación" de la Ley tendría derecho a presentar una demanda contra la empresa infractora. Esto contrasta fuertemente con el GDPR y la CCPA, donde cualquier acción legal es responsabilidad de la Oficina del Comisionado de Información (ICO) y del Fiscal General, respectivamente, y no del sujeto de los datos.
Desafíos y expectativas
La enorme cantidad de noticias y debates en torno a la protección de datos y la privacidad de los consumidores ha contribuido en gran medida a la concienciación y la importancia de la privacidad. Sin embargo, es probable que lograr el cumplimiento de la NYPA sea un reto tan grande como el experimentado por las empresas europeas con el GDPR. Y, aunque el concepto de "la privacidad antes que los beneficios" puede parecer sencillo para algunos, es probable que la mayoría de las empresas no tengan mucha idea de lo que significa en la práctica.
Por ello, es conveniente que se aplique un periodo de gracia de seis meses, que permita a las empresas cubiertas poner en orden sus asuntos antes de que la nueva ley entre en vigor.
Alguien describió recientemente el alcance jurisdiccional de la NYPA como "tan extraterritorial como el GDPR". Se define en el proyecto de ley como aplicable a "las entidades jurídicas que realizan negocios en el Estado de Nueva York o producen productos o servicios dirigidos intencionadamente a los residentes en el Estado de Nueva York".
Pero, ¿qué quieren decir exactamente los legisladores con "intencionadamente"? Y hay muchas otras definiciones que requerirán alguna aclaración por parte de los profesionales de la privacidad de datos y los abogados de las empresas.
Al igual que la CCPA, las definiciones descritas y los riesgos para la privacidad contenidos en la NYPA son muy amplios. Es probable que esto provoque cierta consternación en las empresas que pretenden alcanzar un alto grado de cumplimiento en la fecha prevista.
Así pues, aunque las empresas tendrán la obligación de aplicar las medidas adecuadas para ejercer su deber fiduciario de proteger los datos de los consumidores frente a un sinfín de riesgos para la privacidad, es probable que muchas tengan dificultades si no cuentan con la orientación de un experto.
De lo contrario, quienes lleven la insignia de responsable de la privacidad de los datos (DPO) tendrán la poco envidiable tarea de tratar de averiguar las mejores maneras de mitigar esos riesgos por sí mismos.