A pesar de las esperanzas de algunos legisladores de entregar una ley federal de privacidad de datos en 2019, el año terminó con decepción y frustración tanto para los defensores de la privacidad como para los consumidores.
Dado que el "esperado" proyecto de ley bipartidista sigue siendo esquivo -y que cada vez más estados de EE.UU. elaboran sus propias leyes de privacidad-, ¿cuál es la probabilidad de que el gobierno haga finalmente algo significativo para proteger la privacidad de sus ciudadanos en 2020?
El pasado mes de noviembre, cuando se acercaba el final de 2019, la senadora Maria Cantwell (D-WA), dio a conocer un proyecto de ley demócrata sobre privacidad de datos. Poco después, el presidente del comité, Roger Wicker (republicano), publicó un borrador de debate que esbozaba las prioridades republicanas.
Se celebró una audiencia que permitió al comité en pleno debatir las propuestas.
Los senadores Jerry Moran (R-KS) y Richard Blumenthal (D-CT) -ambos miembros de la Comisión de Comercio y parte del grupo de trabajo del Senado- siguen intentando desarrollar juntos la legislación sobre privacidad.
Al entrar en el nuevo año, los legisladores, los grupos de consumidores y la industria tecnológica decían que 2020 podría ser el año en que el Congreso hiciera realidad un proyecto de ley federal sobre privacidad.
Cuando (eventualmente) esto ocurra, seguramente será recibido como una buena noticia por la mayoría de los estadounidenses que dijeron que no es posible pasar por su vida cotidiana sin ser rastreados, según un estudio de Pew Research.
Curiosamente, durante un panel de privacidad en la exposición de la industria tecnológica CES el mes pasado, la Comisionada Federal de Comercio Rebecca Slaughter dijo:
Sólo el hecho de que casi todos los días cuando leemos el periódico [y] vemos diferentes historias preocupantes sobre violaciones de la privacidad y la seguridad, sería casi imposible concluir que se está haciendo lo suficiente,
(La Sra. Slaughter señaló que las opiniones eran suyas y no de la FTC).
¿Las grandes empresas tecnológicas "miran por el número uno"?
El año pasado, el consejero delegado de Facebook, Mark Zuckerberg, declaró su propia visión de la privacidad de los datos. A medida que Facebook se sometía a un escrutinio cada vez mayor, Zuckerberg se reunió en privado con los legisladores y les instó públicamente a establecer normas.
Al mismo tiempo, el director general de Apple, Tim Cook, también escribió y presentó un artículo de opinión en el que expresaba su opinión al respecto.
Además de las aportaciones independientes de las grandes empresas tecnológicas, la Asociación de Internet, que representa los intereses de empresas tecnológicas como Facebook, Amazon y Google, publicó sus principios para la legislación federal sobre privacidad de datos y lanzó una campaña para presionar al Congreso para que actúe.
El senador Mark Warner (demócrata de Virginia), que critica abiertamente a las grandes empresas tecnológicas, ha declarado a Yahoo Finance que, a medida que otros países y estados han puesto en marcha leyes de privacidad, ha visto un cambio en la actitud de las grandes empresas tecnológicas hacia la regulación. Dijo:
Las grandes empresas tecnológicas quieren una norma nacional única. Lo entiendo. Creo que en cierto modo tiene sentido, pero entonces tiene que ser una norma lo suficientemente alta y fuerte como para que haya una aplicación significativa.
En una entrevista concedida a Yahoo Finance en su momento, el Vicepresidente Senior de Asuntos Gubernamentales Globales del grupo comercial, Michael Bloom, dijo; "Hemos estado en el Congreso día tras día. Es el momento adecuado para una protección federal de la privacidad muy, muy fuerte para los consumidores y usuarios de nuestras plataformas y servicios. Y eso es realmente lo que ha sido nuestro enfoque, y creo que hay un verdadero apetito por eso en el Capitolio".
En el Grupo de Privacidad de Datos, nuestro objetivo es ayudar a nuestros lectores a mantenerse al día con los últimos avances en las leyes de privacidad de datos globales que podrían afectar a su forma de hacer negocios.
Uno de nuestros mayores retos es obtener una imagen clara de las próximas leyes de privacidad y el impacto que tendrán en las empresas que estarán sujetas a esas leyes. Y mientras esperamos la promulgación de una ley federal de privacidad de datos completa, los estados de Estados Unidos siguen remando en sus propias canoas cuando se trata de leyes que rigen la privacidad en línea.
La primera en llegar en 2020 fue la Ley de Privacidad del Consumidor de California (CCPA), que entró en vigor el 1 de enero. Varios otros estados tienen leyes similares en distintas fases de elaboración.
Mientras tanto, en el Capitolio hay dos conjuntos de leyes de privacidad de datos -uno de cada lado de la casa- que alimentan el debate en curso.
La senadora Maria Cantwell (D-WA) y sus colegas demócratas han presentado el Ley de derechos de los consumidores a la privacidad en línea (COPRA), mientras que el senador republicano Roger Wicker (R-MA) ha propuesto la Ley de Protección de Datos de los Consumidores de Estados Unidos (CDPA). No es de extrañar que haya muchas similitudes, pero también algunas diferencias significativas entre ellas.
¿Qué cubren los dos proyectos de ley?
Ambos proyectos de ley distinguen entre lo que se considera "datos cubiertos" y "datos sensibles cubiertos". Del mismo modo, los dos proyectos de ley definen los datos cubiertos como información que "identifica o está vinculada o es razonablemente vinculable a un individuo o dispositivo de consumo."
Sin embargo, la definición del COPRA también incluye los "datos derivados", que se definen como datos "derivados de otras fuentes de información sobre un individuo, hogar o dispositivo".
Los datos desidentificados, los datos de los empleados y la información disponible públicamente están excluidos de la definición de "datos cubiertos" en ambos proyectos de ley. La CDPA también excluye los datos agregados de su definición de datos cubiertos.
En resumen, las principales diferencias entre ambos proyectos de ley son las siguientes:
Similitudes
- Ambos proyectos de ley otorgan a los individuos ciertos derechos. Estos incluyen:
- el derecho de acceso a sus datos;
- requisitos de notificación cuando se recogen los datos;
- el derecho a solicitar la supresión de sus datos;
- el derecho a corregir sus datos si son erróneos;
- El derecho a la portabilidad de los datos.
- Las empresas deben obtener el consentimiento expreso para el tratamiento o la transferencia legal de datos sensibles, que se definen de forma similar en ambos proyectos de ley. Por ejemplo, los identificadores emitidos por el gobierno, los datos biométricos, la geolocalización, el contenido de las comunicaciones privadas o los datos sanitarios.
- Las empresas están obligadas a establecer y mantener medidas de seguridad razonables para la protección de los datos personales y se les prohíbe utilizar prácticas de datos engañosas.
- Ambos prestan especial atención a los sesgos de los algoritmos y a la naturaleza extra sensible de la información biométrica.
- Se amplía la autoridad de la FTC (que actualmente está limitada tanto por el presupuesto como por la capacidad de aplicación), y los fiscales estatales y los funcionarios de protección del consumidor pueden interponer demandas civiles.
- Ambos proyectos de ley conceden los derechos individuales mencionados sólo a petición verificable del individuo. Sin embargo, la COPRA exige que la organización cubierta solicite información adicional al individuo si no puede verificar razonablemente la solicitud a partir de la información proporcionada. La COPRA también exige específicamente a las organizaciones cubiertas que "reduzcan al mínimo los inconvenientes para los consumidores relacionados con la verificación o autentificación de las solicitudes".
- La CDPA permite a las organizaciones cubiertas no cumplir con una solicitud de ejercicio de derechos individuales si "no puede verificar que el individuo que hace la solicitud es el individuo al que se refieren los datos cubiertos que son objeto de la solicitud".
Diferencias
- La CDPA prevalecerá sobre las leyes estatales de privacidad de datos. La COPRA incluye la preponderancia de las "leyes estatales directamente conflictivas", sin embargo, la COPRA pasa a un segundo plano en los casos en que una ley estatal ofrece más protección al consumidor.
- La COPRA incluye en su definición de "información sensible" la "información que revela las actividades en línea a lo largo del tiempo y en sitios web o servicios en línea de terceros". Esto significa que se requiere el consentimiento expreso para procesar la información, o transferir dicha información a un tercero. Esto tendría un impacto significativo en cualquier empresa cubierta que ofrezca una experiencia en línea personalizada a sus clientes.
- La COPRA prevé multas de un mínimo de $100 y un máximo de $1000 por infracción y día, o por daños reales, lo que sea mayor. La cláusula "por día" deja muy claro que las multas pueden acumularse muy rápidamente. La CDPA está más abierta a la interpretación y carece de claridad en cuanto a las posibles sanciones. Simplemente establece que las infracciones de la ley se consideran actos desleales o engañosos de acuerdo con la Ley de la FTC, lo que permite al Tribunal conceder la reparación "necesaria para reparar el daño".
- La COPRA otorga a los individuos un derecho de acción privado para todo tipo de violaciones. Sin embargo, la CDPA no concede un derecho de acción privado.
- La CDPA entraría en vigor dos años después de la fecha de promulgación, mientras que la CORPA entraría en vigor tras sólo 180 días.
- La COPRA otorga a los individuos el derecho a excluirse de las transferencias de datos. La CDPA, por su parte, otorga a las personas el derecho a oponerse al tratamiento o la transferencia de sus datos, con ciertas excepciones.
¿Cuándo podemos esperar una Ley Federal de Privacidad?
Uno de los grandes problemas que intentan resolver los legisladores se centra en la asunto menor de la preponderancia.
Algunos creen fervientemente que una ley federal de privacidad debe tener prioridad sobre las leyes estatales, mientras que otros sostienen que el Congreso no debe impedir que los estados individuales promulguen sus propias normas más estrictas.
Como dijo recientemente el senador Warner... Resolver esa cuestión podría "romper el bloqueo".
Si logramos resolver esta cuestión de la preponderancia, creo que las demás cosas pueden empezar a encajar y es posible que acabemos con una legislación más grande en lugar de más pequeña,
Así pues, primar o no primar las leyes estatales parece ser la cuestión fundamental que representa el mayor conflicto entre las dos partes de la casa. Y con otras diferencias esenciales que también hay que resolver.
Sin embargo, hay una nota positiva: al menos hay un terreno común entre las dos partes. Ambas quieren que los individuos tengan derechos integrales como consumidores en relación con la privacidad y la protección de datos. Los dos proyectos de ley parecen ir más allá de la CCPA de California, al exigir un consentimiento expreso para la recogida, el tratamiento y la transferencia de información sensible cubierta.
Llegamos a la conclusión de que hasta que no se resuelvan los argumentos en el Congreso sobre el derecho de acción privada y la preeminencia de la ley estatal, las dos partes tendrán que luchar para lograr un compromiso que se traduzca en la promulgación de una ley federal de privacidad.
Esperemos que los legisladores no esperen a ponerse de acuerdo en todos los detalles, antes de que el estadounidense medio obtenga por fin un mayor control sobre sus datos personales.