Evolución de las leyes de privacidad del consumidor en ocho estados. A estas alturas, debería ser de dominio público que la Ley de Privacidad del Consumidor de California (CCPA) entra en vigor el 1 de enero de 2020. También es conocido que la legislación estatal sobre privacidad proporciona a los consumidores nuevos derechos en relación con la recopilación y el tratamiento de su información personal. A medida que nos acercamos al último trimestre de 2019, y sin señales concretas de una ley federal de privacidad en el horizonte, varios estados están trabajando activamente en la promulgación de sus propias leyes de privacidad del consumidor.
Es difícil negar que el ejemplo dado por el Reglamento General de Protección de Datos (RGPD) de Europa ha supuesto un incentivo urgente para que los estados de EE.UU. ofrezcan una protección adecuada a sus propios ciudadanos. Sin embargo, según un informe del bufete de abogados White & CaseEn lo que respecta a la protección de la privacidad de los consumidores en Estados Unidos, existe un "revoltijo de cientos de leyes promulgadas tanto a nivel federal como estatal".
Nada nuevo sobre la legislación estatal en materia de privacidad
A pesar del enorme aumento de los problemas de privacidad y protección de datos de los consumidores durante los últimos años, la legislación sobre privacidad a nivel estatal no es nada nuevo. De hecho, según Mitchell Noordyke, CIPP/E, CIPP/US, CIPM de la Asociación Internacional de Profesionales de la Privacidad (IAPP), los estados de EE.UU. han sido líderes en la regulación y aplicación de la privacidad durante algún tiempo. Dijo:
En el pasado, muchos estados han aprobado leyes dirigidas a una determinada industria, actividad o tipo de datos, ...Lo que es nuevo en el momento actual es la energía a nivel estatal para aprobar un enfoque integral, en lugar de uno limitado, para regular la privacidad.
Sin embargo, las empresas que recopilan y procesan información personal deben tener en cuenta que, mientras aumenta el ímpetu de los estados por aprobar una legislación exhaustiva en materia de privacidad, el camino que recorre un proyecto de ley recién presentado hasta llegar a la legislación promulgada suele verse dificultado por diversos obstáculos, y es probable que esté sujeto a varias enmiendas.
Según Noordyke:
Tanto los representantes de la industria como los defensores de la privacidad tienen preocupaciones y prioridades legítimas que deben ser abordadas antes de que una solución viable se abra camino a través de una legislatura estatal, ... Dicho esto, el gran número de estados que están trabajando en una legislación integral de privacidad sugiere que habrá al menos uno o dos estados más con leyes integrales de privacidad en los próximos dos años.
En este artículo, examinamos los progresos realizados por múltiples estados, ya que trabajan casi febrilmente para aprobar leyes de privacidad completas que puedan ser cumplidas por las organizaciones cubiertas.
#1: Ley de Privacidad del Consumidor de California de 2018 (CCPA)
Estado actual: Aprobado - 28 de junio de 2018
Fecha de promulgación: 1 de enero de 2020
La CCPA otorga a los residentes de California (consumidores) el derecho a presentar una solicitud de acceso a una empresa, exigiéndole que la divulgue:
- las categorías y los elementos específicos de información personal que recoge sobre el consumidor;
- las categorías de fuentes de las que se recoge esa información;
- los fines comerciales de la recogida de información; y
- las categorías de terceros con los que se divulga o vende la información.
#2: Ley de Privacidad del Consumidor de Nevada
Estado actual: Aprobado - 29 de mayo de 2019
Fecha de promulgación: 1 de octubre de 2019
En pocas palabras, la ley de privacidad de Nevada exige a los operadores de sitios web y servicios en línea que respeten la indicación del consumidor de no vender su información personal. A diferencia de la Ley de Privacidad del Consumidor de California, la ley de Nevada difiere de manera notable, lo que indica la llegada de un mosaico de más de cincuenta normas de privacidad de datos diferentes en todo el país, al igual que las leyes estatales de notificación de violaciones de datos.
#3: Ley de Privacidad de Nueva York
Estado actual: Introducido - 18 de enero de 2019
Fecha de promulgación: 1 de enero de 2020
El proyecto de ley de privacidad de Nueva York se hace eco de algunas de las protecciones de la CCPA, como permitir a los consumidores ver qué datos se están recopilando sobre ellos, y quién más tiene acceso a esos datos. También pueden solicitar que se corrijan o borren, así como el derecho a negarse a que sus datos se vendan o compartan con terceros.
La Ley de Nueva York se anuncia como "más audaz" que la CCPA, ya que exige a las empresas que revelen sus métodos de desidentificación de la información personal y establezcan garantías especiales en torno al intercambio de datos, además de permitir que se notifique a los consumidores los nombres de todas las entidades con las que se comparte su información.
#4: Ley de Privacidad de Hawai
Estado actual: Introducido - 9 de mayo de 2019
La ley de privacidad hawaiana exige a las empresas que revelen las categorías y los datos específicos de identificación recogidos sobre un consumidor cuando reciban una solicitud verificable de éste. La empresa también debe revelar la identidad de cualquier organización o persona tercera a la que la empresa haya revelado, vendido o transferido de otro modo la información de identificación personal de un consumidor a petición verificable del consumidor, y revelar públicamente las categorías de información de identificación que se recoge de los consumidores.
#5: Ley de Maine para proteger la privacidad de la información de los clientes en línea
Estado actual: Aprobado - 6 de junio de 2019
Fecha de promulgación: 1 de julio de 2020
La ley de privacidad de Maine prohíbe a los proveedores de servicios de Internet utilizar, revelar, vender o dar acceso a la información personal de los clientes, excepto en los casos en que el cliente consienta expresamente dicho uso, revelación, venta o acceso.
#6: Ley de Privacidad de Datos del Consumidor de Pensilvania
Estado actual: Introducido - 5 de abril de 2019
La Ley de Privacidad del Consumidor de Pensilvania es una ley que establece la privacidad de los datos de los consumidores, los derechos de los consumidores y las obligaciones de las empresas en relación con la recogida de información personal y las obligaciones del Fiscal General.
#7: Ley de protección del consumidor de Massachusetts
Estado actual: Introducido - 22 de enero de 2019
Massachusetts cuenta con el proyecto de ley SD.341, que es "una ley relativa a la privacidad de los datos de los consumidores", y que se inspira en gran medida en la CCPA de California. Sin embargo, una de las principales diferencias entre el proyecto de ley de Massachusetts y la CCPA, es que el proyecto de ley establece una excepción para las empresas que recogen o divulgan la información personal de sus empleados, "siempre y cuando la empresa esté recogiendo o divulgando dicha información en el ámbito de su función como empleador". El proyecto de ley crea un derecho de acción privado para los consumidores que hayan "sufrido una violación".
#8: Ley de protección del consumidor en línea de Maryland
Estado actual: Introducido - 4 de febrero de 2019
La Ley de Protección del Consumidor en Línea de Maryland exige a determinadas empresas que recogen información personal de un consumidor que le proporcionen varios avisos en el momento de la recogida o antes. La Ley también autoriza al consumidor a presentar una solicitud de información a cualquier empresa que recopile datos personales sobre el consumidor.
Principios compartidos
Aunque hay ciertos principios comunes compartidos por todos los estados mencionados, en lo que respecta a su enfoque de un proyecto de ley de privacidad integral, cada estado requerirá que las empresas cubiertas realicen un inventario de los datos que poseen, además de un mapa de flujo de datos, como punto de partida para el cumplimiento de la privacidad de los datos, según Mitchell Noordyke.
Noordyke mencionó la segmentación de los datos en consumidores europeos y estadounidenses. "Pero", dijo:
A medida que los estados se vuelven más activos, este enfoque puede convertirse en una carga administrativa demasiado pesada para que las organizaciones lo apliquen de forma práctica. Las empresas pueden considerar un enfoque global de la privacidad, en lugar de uno basado en la jurisdicción.
Noordyke añadió que una estrategia de cumplimiento es una evaluación específica de la situación, para la que una empresa debe contratar a un abogado y tener en cuenta a sus partes interesadas. Dijo:
Evaluar las prácticas actuales en materia de datos, reflexionar de forma crítica sobre si es mejor para la empresa una estrategia de cumplimiento global o basada en la jurisdicción, .... y comprender los principios comunes que subyacen en los distintos proyectos de ley estatales son buenos primeros pasos para las empresas en el momento actual.
NOTA: Este artículo se proporciona únicamente con fines informativos y no constituye un asesoramiento legal o profesional. El Grupo de Privacidad de Datos recomienda a las empresas que contraten los servicios de un profesional con experiencia en privacidad y protección de datos cuando se preparen para cumplir con la legislación sobre protección de datos y privacidad.