LA CCPA DE CALIFORNIA SE REFORZARÁ CON REQUISITOS DEL TIPO GDPR.
El 24 de junio, el Secretario de Estado de California certificó la Ley de Derechos de Privacidad de California (CPRA). El lector puede ser excusado por pensar "¿CPRA??.... ¿Qué es eso? .... una nueva ley de privacidad? .... ya tenemos una - la CCPA - ¿no?"
Pues sí. Los californianos tienen efectivamente la Ley de Privacidad del Consumidor de California (CCPA). Sin embargo, "se suponía que la medida iba a proporcionar a los consumidores más transparencia sobre sus datos. Se parece más a un embrollo", dijo un Artículo del Washingtron Post en enero de este año.
Las noticias que anunciaban la llegada de la CCPA comenzaron con:
La Ley de Privacidad del Consumidor de California, que entró en vigor el 1 de enero después de ser adoptada en 2018, fue aclamada por los defensores de la privacidad como un gran salto adelante en la responsabilización de las empresas por la forma en que manejan los datos personales, uno que daría a los consumidores estadounidenses su primera visión real de cómo están siendo monitoreados y lucrados en línea.
La historia continuó:
Pero la información en las primeras semanas de aplicación de la ley ha sido muy variada. Algunas empresas tienen información incorrecta en sus sitios web sobre cómo les afecta la ley y a los consumidores. La mayoría de las empresas acusan recibo de las solicitudes con correos electrónicos o mensajes de texto, mientras que otras parecen desaparecer una vez presentadas. Y una vez obtenidos, los volúmenes de datos crean una nueva carga para los consumidores: cómo gestionarlos.
El primero en la carrera por el cumplimiento de la privacidad
Es posible que California haya sido la primera en impulsar una ley de privacidad a nivel estatal. Desgraciadamente, en cuanto se consumió el último champán de la celebración, se hizo evidente que podrían surgir problemas y que muchos tendrían que "dar la cara y bailar".
A pesar de ser anunciada como la ley de privacidad de datos más estricta de la historia de Estados Unidos, la CCPA ha estado plagada de ambigüedades, como su increíblemente amplia visión de los "datos personales" ... causando frustración y confusión a las empresas - no sólo con sede en California - sino a casi todas las organizaciones del planeta, que hacen negocios en California .
Otro problema que las empresas no apreciaron fue el impacto potencial del derecho de acción privada disponible en la CCPA. Podríamos mencionar otras áreas de exasperación, pero sencillamente no hay espacio suficiente en este post para repasarlas todas.
Estos no eran los mayores problemas que presentaba la CCPA. Se puede argumentar que el mayor problema fue la inconveniencia del cambio. La nueva legislación californiana se aprobó rápidamente y no fue examinada. Esto provocó una enorme reacción en la industria, que no se disipó.
Desde que se convirtió en ley el 1 de julio de 2020, después de un "período de gracia" de 6 meses, destacados defensores de la privacidad de los consumidores de todo el país han expresado repetidamente su profunda frustración con los esfuerzos de la legislatura de California para modificar la CCPA en 2019 (a instancias de la comunidad empresarial). Finalmente, una ley de privacidad más sólida y completa, incluso más alineada con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea.
Introduzca la Ley de Derechos de Privacidad de California
El 24 de junio, la Ley de Derechos de Privacidad de California (CPRA, por sus siglas en inglés) fue certificada por el Secretario de Estado de California, para ser incluida en la boleta electoral de noviembre de 2020, habiendo obtenido el número de firmas requerido.
Las encuestas (prepandémicas) han revelado que la CPRA cuenta con un apoyo abrumador, que alcanza el 90%), y se espera que sea debidamente aprobada el próximo otoño.
Descrita por algunos analistas como "un poco de espoleta retrasada", el mayor impacto de la nueva ley no entrará en vigor hasta el 1 de enero de 2023, y se aplicará - aparentemente con la excepción del derecho de acceso a los datos - sólo a los datos personales recogidos después del 1 de enero de 2022.
Esto debería dar tiempo suficiente a las organizaciones cubiertas para prepararse para la CPRA, que parece ampliar y reforzar la CCPA de forma significativa. Por lo tanto, suponiendo que no se produzcan retrasos en la votación de la CPRA, es muy probable que se produzca un efecto de imitación entre otros estados que están reflexionando sobre una amplia legislación en materia de privacidad.
Además, también es probable que haga que los legisladores y congresistas se pongan en marcha con esfuerzos urgentes para acordar una ley federal de privacidad integral que se anteponga al creciente batiburrillo de leyes estatales en conflicto.
Se mire como se mire, las implicaciones de la CPRA van más allá de lo que se denominaba "CCPA 2.0". Hay mucho que digerir con la CPRA. Y no hay duda de que las empresas de todo el Estado tendrán que respirar hondo antes de comparar el trabajo que ya han hecho para cumplir con la CCPA, con los requisitos y responsabilidades actualizados que se consagran en la nueva ley.
Con esto en mente, incluimos un breve resumen (cortesía de Cyber Law Monitor) de las principales innovaciones de la CPRA y las revisiones de la CCPA:
-
Cuando la CCPA se aplica a las empresas con ánimo de lucro que procesan la información personal de 50.000 o más consumidores u hogares de California, la CPRA eleva este umbral a 100.000. (Las pruebas alternativas de la CCPA para la aplicabilidad - $25 millones de ingresos anuales o realización de 50% o más de ingresos anuales por la venta de información personal - se mantienen).
-
Además del derecho a conocer las categorías y los elementos específicos de información personal que una empresa cubierta tiene en relación con un consumidor, el derecho a que se elimine la información personal y el derecho a no participar en las ventas de información personal (todos ellos concedidos en virtud de la CCPA), la CPRA introduce un nuevo derecho para que los interesados corrijan los datos personales inexactos en poder de una empresa.
-
La CPRA define una nueva categoría de "información personal sensible", que incluye, entre otras cosas, los identificadores gubernamentales (como el número de la Seguridad Social y el número del permiso de conducir), la geolocalización precisa, la información racial y étnica y los datos genéticos, y se asemeja a las "categorías especiales" de datos personales para las que el RGPD impone limitaciones más estrictas a la recogida y el tratamiento. La CPRA permite a los consumidores limitar el uso y la divulgación de información personal sensible a lo esencialmente necesario para proporcionar los bienes o servicios solicitados por el consumidor y otros fines compatibles. Una empresa estaría obligada a mostrar de forma clara y visible un enlace "Limitar el uso de mi información sensible" en su sitio web, a menos que permita a los consumidores ejercer esta opción a través de una señal de preferencia (por ejemplo, desde un navegador).
-
La CPRA amplía las obligaciones del derecho a saber de la CCPA para incluir el "intercambio" y la divulgación de información personal por parte de una empresa cubierta y también amplía la opción de venta para el intercambio. "Compartir" se define como la transferencia de información para la publicidad conductual de "contexto cruzado" (es decir, la publicidad conductual dirigida que se basa en la actividad de un consumidor en diferentes empresas o propiedades de Internet), independientemente de si la transferencia se produce a cambio de una contraprestación. Las empresas deberán mostrar de forma clara y visible un enlace "No vender ni compartir mis datos personales" en su sitio web, a menos que permitan a los consumidores optar por no hacerlo a través de una señal de preferencia (por ejemplo, desde un navegador).
-
La CPRA amplía el derecho del consumidor a saber más allá del plazo de doce meses que actualmente establece la CCPA.
-
La CPRA aumenta las multas administrativas de la CCPA hasta $7.500 por una violación intencionada o una violación que implique la información personal de alguien que, según el conocimiento real de la parte que comete la violación, es menor de 16 años.
-
La CPRA amplía el derecho de acción privada de la CCPA para las violaciones de datos causadas por la falta de uso de medidas de seguridad razonables por parte de una empresa a otros tipos de información personal, concretamente la dirección de correo electrónico y una contraseña o una pregunta y respuesta de seguridad que permita el acceso a una cuenta
-
Al igual que el RGPD, la CPRA impone nuevos requisitos en materia de conservación de datos, y exige a las empresas que revelen en sus avisos de privacidad "el tiempo que la empresa tiene previsto conservar cada categoría de información personal, incluida la información personal sensible, o, si esto no es posible, los criterios utilizados para determinar dicho período....". Sin embargo, una empresa no puede retener la información personal de un consumidor o la información personal sensible para un propósito revelado para el que se recogió la información "durante más tiempo del razonablemente necesario para ese propósito revelado." Por lo tanto, las empresas tendrán que alinear sus protocolos de retención con los propósitos de recopilación revelados a los consumidores (por ejemplo, en una política de privacidad) en o antes del punto de recopilación, así como actualizar sus políticas de privacidad para incluir las revelaciones de retención particularizadas requeridas por la CPRA. Esto será un obstáculo formidable para muchas empresas.
-
La CPRA amplía el derecho de la CCPA a conocer y acceder a los datos personales específicos que una empresa tiene sobre un consumidor para incluir un requisito de portabilidad que recuerda al del GDPR. La empresa debe proporcionar la información en un formato "fácilmente comprensible para un consumidor medio" y, si es tecnológicamente posible, en un "formato estructurado, de uso común y legible por máquina."
-
La CPRA crea una nueva categoría de "contratista" junto a la de "proveedor de servicios" de la CCPA. Al igual que en el caso de los proveedores de servicios, las empresas cubiertas deben tener contratos escritos con los contratistas que contengan ciertas disposiciones obligatorias, por ejemplo, que restrinjan su tratamiento de información personal en nombre de la empresa cubierta. También se han ampliado los requisitos que deben figurar en los contratos de los proveedores de servicios. Por último, la CPRA somete directamente a los proveedores de servicios y a los contratistas a auditorías por parte de las empresas para las que procesan información personal.
-
La CPRA conferirá la principal autoridad normativa, administrativa y de ejecución a una nueva agencia que se creará en virtud de la ley, la Agencia de Protección de la Privacidad de California (CPPA), que asumirá la autoridad que actualmente tiene el Fiscal General de California en virtud de la CCPA para dictar reglamentos, iniciar procedimientos de ejecución e imponer multas administrativas. De acuerdo con los términos de la CPRA, se deben emitir nuevas regulaciones sustanciales -más allá de las recientemente finalizadas por el Fiscal General de California bajo la CCPA- para definir y ampliar numerosas áreas de preocupación identificadas por los redactores de la ley. Entre los reglamentos que deben promulgarse se encuentran los que (i) exigen que las empresas que se consideran implicadas en el tratamiento de datos de alto riesgo se sometan a auditorías anuales, así como a evaluaciones de riesgo, y (ii) establecen los derechos de acceso y exclusión de los consumidores con respecto a la elaboración de perfiles y la toma de decisiones automatizadas (el RGPD ofrece derechos similares a los interesados). La CPPA estará gobernada por un consejo de cinco miembros con experiencia en privacidad y tecnología y cuyos miembros tendrán un mandato que no podrá exceder de ocho años consecutivos.
-
Dado que la CPRA se promulgará a través de la aprobación de los votantes y no de la legislatura de California, el poder legislativo está limitado para aprobar enmiendas que degraden el nivel de protección de la privacidad extendido a los consumidores.
Si todo va bien en noviembre, y la CPRA recibe el visto bueno de los votantes, las empresas cubiertas harán bien en empezar a trabajar inmediatamente en una revisión exhaustiva de sus actuales niveles de cumplimiento, y en realizar todos los cambios necesarios en sus prácticas y procedimientos de privacidad de datos.
Dado que la CPRA probablemente se parecerá a la hermana gemela idéntica del GDPR europeo, la gran pregunta para los responsables de la política empresarial es: ¿deberíamos simplemente extender las protecciones de la CPRA a todos los residentes de Estados Unidos?
Ciertamente, esto significaría una mayor escalabilidad de los esfuerzos de cumplimiento, en lugar de mantener un número creciente de marcos de privacidad divergentes en múltiples jurisdicciones. También habría un menor riesgo de incumplir los requisitos normativos y legales.
Naturalmente, cada organización tiene su propio modelo de negocio, y los riesgos potenciales variarán significativamente. Por lo tanto, las empresas deben tener cuidado de analizar y sopesar todas las opciones disponibles.
Ante la perspectiva de una legislación de privacidad aún más estricta, no sería prudente retrasar la toma de decisiones estratégicas en lo que respecta a la privacidad de los datos.
NOTA: Este artículo se proporciona únicamente con fines informativos y no constituye un asesoramiento legal o profesional. El Grupo de Privacidad de Datos recomienda a las empresas que contraten los servicios de un profesional con experiencia en la protección de datos, así como de un asesor jurídico, a la hora de prepararse para el cumplimiento de las leyes de protección de datos y privacidad.