En los dos últimos años, las empresas se han visto catapultadas a un mundo nuevo y vertiginoso, con expectativas y requisitos de privacidad inauditos hace apenas dos años.
Tan pronto como la ley parecía asentada en la Unión Europea con el Reglamento General de Protección de Datos (GDPR) que entró en vigor el 25 de mayo de 2018, California se lanzó al centro de atención con su Ley de Privacidad del Consumidor de California (CCPA) que entró en vigor el 1 de enero de 2020.
La CCPA es la primera ley de privacidad del país que otorga a los consumidores amplios derechos para controlar (y en algunos casos eliminar) la información personal que las empresas recopilan sobre ellos. Desde entonces, varios estados han seguido su ejemplo aprobando o proponiendo leyes de privacidad similares a la CCPA que otorgan a los consumidores al menos algunos derechos sobre sus datos.
Si se aprueban todas las leyes estatales sobre privacidad actualmente en estudio, el 34% de los habitantes de Estados Unidos tendrán al menos algún derecho a controlar sus datos.
10 predicciones sobre privacidad para el próximo año...
Y aún no ha terminado: 2020 está a punto de traer más cambios a una velocidad vertiginosa. Algunos de estos cambios vendrán impulsados por la demanda de los consumidores, otros por la competencia empresarial y otros por imperativos legales. He aquí 10 predicciones sobre hacia dónde se dirige la privacidad en 2020:
Más leyes estatales sobre privacidad
Más estados seguirán el ejemplo de California y promulgarán leyes de privacidad parecidas a la CCPA, pero con algunas diferencias locales. Las empresas que operan en varios estados van a tener dificultades para gestionar todos los requisitos específicos de cada estado. Aumentará la demanda de profesionales de la privacidad y de programas de cumplimiento exhaustivos.
El cumplimiento voluntario de la CCPA como ventaja competitiva
Incluso las empresas que no están estrictamente sujetas a la CCPA empezarán a cumplir voluntariamente algunos de sus principios, como la transparencia sobre las prácticas de recopilación y uso de datos, y permitir a los clientes conocer y eliminar determinada información que la empresa haya recopilado sobre ellos. Las empresas dejarán de ver la transparencia y la privacidad como cargas de cumplimiento y empezarán a verlas como ventajas competitivas.
Le espera un recurso de inconstitucionalidad
La CCPA será objeto de un recurso de inconstitucionalidad. Los opositores argumentarán que la ley viola la Cláusula de Comercio inactiva de la Constitución de Estados Unidos porque la CCPA impone cargas excesivas al comercio interestatal sin la aprobación del Congreso.
Lo más probable es que esta impugnación fracase. La CCPA no trata los intereses económicos de dentro y fuera del estado de forma diferente y de manera que beneficie a las empresas de California y perjudique a las de fuera del estado. Más bien, la CCPA impone obligaciones a todas las empresas que cumplen los requisitos mínimos de la CCPA.
Por fin, ¿una ley federal de privacidad?
En respuesta a las crecientes peticiones de uniformidad nacional, el Congreso seguirá trabajando en una ley federal de privacidad que incorporará principios de la CCPA. La primacía y el derecho de acción privado seguirán siendo objeto de acalorada controversia y retrasarán la aprobación de una ley federal de protección de la intimidad que, de otro modo, sería fácil.
No veremos una ley federal de privacidad en 2020 (principalmente porque los líderes del Congreso estarán preocupados primero por los procedimientos de destitución y luego por las elecciones de 2020), pero tal vez en 2021 o 2022.
Nacerá la CCPA 2.0
La ley de privacidad de California seguirá evolucionando. La nueva iniciativa de Alastair Mactaggart sobre privacidad en California, la California Privacy Enforcement Act (CPEA), se presentará a las urnas en noviembre de 2020, y será aprobada. Esta evolución acentuará la necesidad de uniformidad nacional y preeminencia federal.
Los ojos puestos en el Fiscal General
Las empresas de todo el país van a observar a la oficina del Fiscal General de California para ver con qué rapidez se mueve para hacer cumplir la CCPA, quién estará en el punto de mira del AG y la gravedad de las sanciones. En diciembre de 2019, el Fiscal General Xavier Becerra anunció que si las empresas no están operando correctamente, su oficina "descenderá sobre ellas y hará un ejemplo de ellas, para mostrar que si no lo haces de la manera correcta, esto es lo que te va a pasar."
Aunque el Fiscal General no iniciará acciones de aplicación antes del 1 de julio de 2020, las acciones reglamentarias y las multas de entre 2.500 y 7.500 dólares pueden basarse en conductas que tuvieron lugar ya en enero de 2020.
Demandas colectivas y mayor seguridad
Ahora que la Ley de Protección de la Privacidad de los Consumidores de California es la primera ley del país que prevé indemnizaciones legales por daños y perjuicios en casos de violación de datos, ocurrirán dos cosas. En primer lugar, California se convertirá en un punto caliente para las demandas colectivas por violación de datos. En segundo lugar, las empresas invertirán muchos más recursos en infraestructura de seguridad, cifrado, tecnología y formación para garantizar que cuentan con procedimientos y prácticas de seguridad sólidos (no sólo "razonables").
"Aplicaciones "Bórrame
Dado que la CCPA permite a los consumidores designar "agentes autorizados" para acceder a la información y eliminarla en su nombre, los creadores de aplicaciones crearán aplicaciones que permitirán a los consumidores autorizar a la aplicación a enviar solicitudes de eliminación en su nombre a cientos de tiendas minoristas, sitios web, operadores en línea, plataformas de redes sociales y otras instituciones con un solo botón de "enviar".
Esto creará una industria artesanal para los desarrolladores de aplicaciones y será oneroso para las empresas responder, porque muchos consumidores pueden incluso no tener una cuenta con el minorista o el sitio web. Y, sin embargo, la CCPA obligará a la empresa a confirmar la recepción de la solicitud, buscar datos que respondan y, en última instancia, denegar la solicitud porque no hay datos que eliminar.
Las respuestas manuales darán paso a procesos automatizados
Las empresas seguirán intentando responder manualmente a las solicitudes de los consumidores para acceder a los datos y eliminarlos, pero para algunas empresas e industrias el esfuerzo llevará demasiado tiempo y será propenso a errores. Las empresas verán las ventajas de los programas de respuesta automatizados y escalables y se verán incentivadas a prepararse para el futuro.
Cumplimiento de la ADA en el sitio web
Como parte de sus esfuerzos por cumplir la normativa sobre privacidad, las empresas también se centrarán en hacer sus sitios web accesibles a las personas con discapacidad. La CCPA exige que las empresas publiquen los avisos obligatorios y su política de privacidad en sus sitios web para que sean accesibles a los consumidores con discapacidad. Pero no servirá de mucho si la política de privacidad es accesible pero el resto del sitio web no lo es.
Varios Tribunales de Apelación de los Estados Unidos han dictaminado que los sitios web que tienen una conexión con un lugar físico de alojamiento deben cumplir el Título II de la Ley de Estadounidenses con Discapacidades. En California, las infracciones de la ADA son también infracciones de la Ley Unruh de Derechos Civiles de California, que permite a los demandantes recuperar una indemnización de hasta el triple de los daños reales, pero no inferior a 4.000 dólares por infracción, junto con los honorarios de los abogados. (En la actualidad no existe una prescripción legal para la accesibilidad web, pero los tribunales suelen referirse a las Pautas de Accesibilidad al Contenido en la Web ("WCAG") 2.1 nivel AA como la norma adecuada).
