En agosto del año pasado (2019) publicamos un artículo sobre la Ley de Privacidad de Nueva York (NYPA). En aquel momento, el proyecto de ley de Nueva York se anunciaba como una legislación de privacidad aún más estricta que la Ley de Privacidad del Consumidor de California, una versión más grande y más audaz de la CCPA del Estado Dorado.
Desgraciadamente, la falta de apoyo y el enorme esfuerzo de los grupos de presión la frenaron en seco.
La NYPA se hace eco de muchas de las protecciones incluidas en la CCPA, como la de revelar a los consumidores qué datos se tienen sobre ellos y quién más tiene acceso a sus datos. Los neoyorquinos también podrán solicitar la corrección o eliminación de sus datos, así como el derecho a rechazar la venta o el intercambio de sus datos con terceros.
El proyecto de ley, que fue presentado en mayo de 2019 por el senador del estado de Nueva York, Kevin Thomas, también presidente del Comité de Protección al Consumidor, habría concedido a los residentes de NY un mayor control sobre sus datos personales que en cualquier otro estado de Estados Unidos. También habría exigido a las empresas cubiertas que pusieran la privacidad de sus clientes en primer lugar, en lugar de sus propios beneficios.
A diferencia de la CCPA de California, la NYPA se aplicaba tanto a las organizaciones sin ánimo de lucro como a las empresas con ánimo de lucro. También incluía un derecho de acción privado para las violaciones de datos de $10.000 por consumidor.
Pero, lamentablemente, para los que apoyaron el proyecto de ley, éste no se aprobó, según algunos, debido a la naturaleza altamente prescriptiva de la ley, además del impacto potencial en las pequeñas y medianas empresas (PYMES), aunque estas razones siguen siendo puramente especulativas.
Fiduciarios de datos
Según la Electronic Frontier Foundation -una importante organización sin ánimo de lucro que defiende la privacidad digital, la libertad de expresión y la innovación-, la legislación de Nueva York habría designado a las empresas que recogen información personal de los consumidores como "fiduciarias de la información", lo que implicaría la imposición de un "deber de lealtad y cuidado". Estas empresas estarían obligadas a informar a los consumidores de:
-
qué información se recoge;
-
la finalidad de dicha recogida; y
-
con quién se compartió su información.
La idea de "fiduciario de datos" no es un concepto totalmente nuevo, sino que se basa en leyes como la Health Insurance Portability and Accountability Act -más conocida como HIPAA-, que prohíbe la transferencia de datos personales de los pacientes entre proveedores de servicios sanitarios.
Aunque la HIPAA no aceleró exactamente los procesos de transferencia de datos, debido a la exigencia de firmar formularios de consentimiento antes de transferir los registros, la ley aumentó la confianza de los pacientes en sus proveedores de atención sanitaria.
Según la Unión de Libertades Civiles de Nueva York, el objetivo de los fiduciarios de datos es garantizar que se aplique el mismo nivel de cuidado a la información personal recogida por las empresas tecnológicas.
En lugar de limitarse a exigir a las empresas que obtengan el debido consentimiento antes de compartir los datos personales de los consumidores, se les prohibiría cualquier tipo de tratamiento de esos datos, lo que podría perjudicar al consumidor.
Al igual que muchos otros aspectos de la legislación sobre privacidad, la aplicación de una disposición sobre fiduciarios de datos suscita muchas cuestiones de "viabilidad" para las empresas afectadas. El concepto de fiduciario de datos crea un marco totalmente diferente en comparación con el del GDPR de la UE o la CCPA de California, ninguno de los cuales incluye una disposición de fiduciario de datos. De hecho, algunos críticos han dicho que una disposición de este tipo añadiría un nivel significativo de complejidad al cumplimiento.
Frustración
El pasado mes de noviembre, los senadores del estado de Nueva York expresaron su impaciencia y frustración por la falta de premura del Congreso a la hora de abordar la cuestión de la recogida de datos y la privacidad de las empresas del estado de Nueva York. Y, los legisladores comenzaron a abogar por más legislación que restrinja la forma en que las empresas utilizan y comparten los datos de los consumidores. Se convocó una audiencia de cinco horas de duración en la que las comisiones permanentes del Senado sobre Protección del Consumidor e Internet y Tecnología escucharon a once paneles de testigos, entre los que se encontraban representantes de grupos empresariales, defensores del consumidor y funcionarios del gobierno estatal.
Durante la audiencia, varios defensores de la industria testificaron contra la legislación de Nueva York. Entre ellos, el Retail Council for New York State, el Business Council of New York State, Google, TechNet, Tech NYC y la Internet Association, que representan a grandes empresas tecnológicas como Amazon, Facebook, eBay, Spotify y Uber.
¿Un hacha para moler?
Ya que hablamos de la intervención de los grupos industriales, es difícil negar que prácticamente cualquier forma de derecho de acción privada está destinada a proporcionar a los defensores de la industria un hacha para moler, que es precisamente la razón por la que la disposición del derecho de acción privada de la NYPA obtuvo el "pulgar hacia abajo" de los defensores de la industria.
La NYPA permitiría a un consumidor individual demandar a una empresa por violación de sus derechos de privacidad de datos, en lugar de hacerlo sólo como parte de una demanda colectiva.
Nitch Noordyke, abogado especializado en propiedad intelectual y antiguo miembro de la Asociación Internacional de Profesionales de la Privacidad, comentó que los defensores del sector se oponen generalmente a cualquier forma de derecho de acción privado:
porque temen una avalancha de costosos litigios liderados por activos abogados demandantes de acción colectiva, ... Como mínimo, prefieren limitar el derecho de acción privada sólo a las violaciones de la seguridad - porque entonces una empresa sólo se enfrenta al riesgo de una costosa acción colectiva en caso de una violación de datos.
Los defensores de la privacidad, sin embargo, sostienen que los fiscales generales de los estados "carecen de recursos para hacer cumplir adecuadamente una ley de privacidad integral de manera significativa", añadió Noordyke. Esencialmente, la amenaza de todas esas demandas es una de las únicas cosas que obligará a las empresas a cumplir.
Mientras tanto, los debates en torno a las leyes de privacidad parecen estar ganando una atención renovada, después de la exitosa implementación de la CCPA en California en enero, ya que los legisladores están trabajando duro para tratar de construir leyes de privacidad de gran alcance para sus propios estados - a pesar de la continua oposición de las grandes corporaciones tecnológicas y grupos de la industria.
