Cualquier organización que tenga relaciones comerciales en California sabrá que la Ley de Privacidad del Consumidor de California (CCPA) entró en vigor el 1 de enero de 2020. A partir de esa fecha, las empresas tienen seis meses para asegurarse de que cumplen con la nueva ley. Este "periodo de gracia" significa que el fiscal general de California no puede emprender una acción de aplicación de la CCPA hasta el 1 de julio de 2020.
A pesar de la actual pandemia de Covid-19, la fecha de aplicación se mantiene. Por consiguiente, dado que cada vez son más los empleados que trabajan desde casa en la medida de lo posible, las empresas deben aprovechar el tiempo que les queda -algo más de dos meses- para seguir trabajando en pro del cumplimiento de la normativa y resolver los problemas pendientes.
Sin embargo, para las instituciones financieras hay una pregunta que no deja de surgir: ....
"¿Prevé la CCPA exenciones para las instituciones financieras?"
La respuesta sencilla, a pesar de las protestas de algunos miembros del sector financiero de que los requisitos de la CCPA son vagos y algo amplios, es que la Ley se aplica a casi todo tipo de empresa que cumpla determinados umbrales, y sí, esto incluye a las instituciones financieras que ya están reguladas por las leyes federales de privacidad.
La Ley Gramm-Leach-Bliley (GLBA), también conocida como Ley de Modernización de los Servicios Financieros de 1999, regula la recogida y divulgación de los mismos tipos de información personal que regula la CCPA.
La GLBA exige a las instituciones financieras que protejan la información personal de los consumidores y que les notifiquen sobre la información que recogen y procesan. Además, la GLBA exige a las instituciones financieras que apliquen controles eficaces para mitigar los riesgos que afectan a la información personal de los consumidores, prestando especial atención a los sistemas de información, la formación de los empleados y la prevención y respuesta a los ciberataques y fallos del sistema.
En reconocimiento de las obligaciones existentes que la GLBA impone a las instituciones financieras, además de la CCPA, la Legislatura de California ha buscado formas de aliviar algunas de las obligaciones que la CCPA les impone creando una excepción. Dicho esto, la CCPA no ofrece en modo alguno una exención total de sus requisitos. En lugar de eximir a las propias instituciones financieras, la CCPA exime los datos que ya están cubiertos por la GLBA. En concreto, la CCPA exime "la información personal recopilada, procesada, vendida o revelada en virtud de la ley federal Gramm-Leach-Bliley y sus reglamentos de aplicación...".
¿Qué significa esto para las instituciones financieras?
Al estudiar las dos leyes, es claramente evidente que la CCPA cubre un espectro de información mucho más amplio que el cubierto por la GLBA. La CCPA cubre la "información personal", que se define como:
"la información que identifique, se refiera, describa, pueda asociarse o pueda vincularse razonablemente, de forma directa o indirecta, con un consumidor u hogar concreto".
Sin embargo, la GLBA cubre una categoría comparativamente más estrecha de "información financiera personalmente identificable", que se define como cualquier información que un consumidor proporcione a una institución financiera "para obtener un producto o servicio financiero" o "sobre un consumidor resultante de cualquier transacción que implique un producto o servicio financiero" entre la empresa y un consumidor o que la institución financiera de otra manera "obtenga sobre un consumidor en relación con la prestación de un producto o servicio financiero a ese consumidor".
Esto podría incluir la información de la cuenta, la información de una solicitud de seguro, o la información obtenida a través de una cookie u otro registro digital, cuando la información se ha recogido al proporcionar un producto financiero. Como esta información ya está cubierta por la GLBA, está exenta de los requisitos de la CCPA.
En pocas palabras, la institución financiera no tiene la obligación de proporcionar a los consumidores los diversos derechos con respecto a la "información financiera personalmente identificable" que, de otro modo, deben proporcionarse en virtud de la CCPA.
Sin embargo, hay una advertencia importante. Si una institución financiera recopila información con cualquier otro fin que no sea el de proporcionar un producto o servicio financiero, como por ejemplo con fines de marketing, está obligada a cumplir con la CCPA.
Es importante señalar que la definición de la CCPA incluye cualquier "inferencia extraída" de cualquier información personal que se utilice "para crear un perfil sobre un consumidor que refleje sus preferencias, características, tendencias psicológicas, predisposiciones, comportamiento, actitudes, inteligencia, capacidades y aptitudes".
Esto significa que determinadas actividades comerciales, como el marketing dirigido, el seguimiento de visitantes de sitios web, la recopilación de datos de geolocalización y la obtención de información de visitantes de sitios web que no son clientes, pueden considerarse dentro del ámbito de la CCPA, pero fuera del ámbito de la GLBA.
Prácticas y procesos
Cuando una institución financiera recopila información personal que no está relacionada con la prestación de productos y servicios financieros, debe aplicar un proceso para identificar a) qué información está cubierta por la GLBA y b) qué información entra en los requisitos de la CCPA. Por lo tanto, se requiere un mapa de datos para identificar claramente qué datos se recogen y con qué finalidad específica.
También puede ser necesario reevaluar los avisos, las políticas y las prácticas de privacidad, a fin de tener en cuenta la interacción entre la GLBA y la CCPA. En algunos casos, es posible que la misma información esté regulada de forma diferente en función de cómo y por qué se recogieron los datos. Por ejemplo, una dirección IP o una cookie podrían estar sujetas a la GLBA -por tanto, exentas de la CCPA- si se recogen con el fin de proporcionar un producto financiero. Sin embargo, si la misma información se recogió con fines puramente comerciales, pero nunca dio lugar a la venta de un producto, es probable que esté cubierta por la CCPA.
Resumen
Independientemente del tipo de datos que se recojan, la exención prevista en la GLBA no se aplica al derecho de acción privada previsto en la CCPA. El derecho de acción privada de la CCPA permite a los consumidores solicitar una indemnización por daños y perjuicios si la información personal del consumidor "es objeto de un acceso no autorizado, una exfiltración, un robo o una divulgación como resultado de la violación por parte de la empresa de la obligación de aplicar y mantener procedimientos y prácticas de seguridad razonables".
Incluso en los casos en que los datos de una institución financiera están exentos de los requisitos de notificación, elección y acceso de la CCPA, sigue estando sujeta a daños potencialmente importantes en caso de violación de datos.
A partir del 1 de julio de este año, el fiscal general de California estará facultado para emprender acciones de aplicación de la CCPA. Será interesante ver cómo se interpretará esta exención.
Mientras tanto, las instituciones financieras harían bien en aprovechar el tiempo que les queda para asegurarse de que sus avisos, políticas y prácticas de privacidad están totalmente actualizados, para dar cuenta de cualquier información que posean que pueda estar cubierta por la CCPA y para estar totalmente preparadas para responder de manera oportuna a las solicitudes de acceso de los consumidores.