En los últimos dos años, las empresas se han visto catapultadas a un nuevo mundo vertiginoso, con expectativas y requisitos de privacidad que eran impensables hace solo dos años.
Tan pronto como la ley pareció asentarse en la Unión Europea con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018, California saltó a la palestra con su Ley de Privacidad del Consumidor de California (CCPA), que entró en vigor el 1 de enero de 2020.
La CCPA es la primera ley de privacidad del país que otorga a los consumidores amplios derechos para controlar (y, en algunos casos, eliminar) la información personal que las empresas recopilan sobre ellos. Desde entonces, varios estados han seguido su ejemplo aprobando o proponiendo leyes de privacidad similares a la CCPA que otorgan a los consumidores al menos algunos derechos sobre sus datos.
Si todas las leyes estatales de privacidad que se están debatiendo actualmente se aprueban, el 34 % de las personas que viven en Estados Unidos tendrán al menos algunos derechos para controlar sus datos.
10 predicciones sobre privacidad para el año que viene...
Y aún no ha terminado: 2020 va camino de traer más cambios a una velocidad vertiginosa. Algunos de estos cambios vendrán impulsados por la demanda de los consumidores, otros por la competencia empresarial y otros por mandatos legales. Aquí hay 10 predicciones sobre hacia dónde se dirige la privacidad en 2020:
Más leyes de privacidad específicas de cada estado
Más estados seguirán el ejemplo de California y promulgarán leyes de privacidad similares a la CCPA, pero con algunas diferencias locales. A las empresas que operan en varios estados les resultará difícil gestionar todos los requisitos específicos de cada estado. Aumentará la demanda de profesionales de la privacidad y de programas de cumplimiento integrales.
El cumplimiento voluntario de la CCPA como ventaja competitiva
Incluso las empresas que no están estrictamente sujetas a la CCPA comenzarán a cumplir voluntariamente algunos de sus principios, como la transparencia sobre las prácticas de recopilación y uso de datos, y permitir a los clientes conocer y eliminar cierta información que la empresa ha recopilado sobre ellos. Las empresas dejarán de considerar la transparencia y la privacidad como cargas de cumplimiento y comenzarán a verlas como ventajas competitivas.
Se avecina un desafío constitucional
Se presentará un recurso de inconstitucionalidad contra la CCPA. Los detractores argumentarán que la ley viola la cláusula comercial inactiva de la Constitución de los Estados Unidos, ya que la CCPA impone cargas excesivas al comercio interestatal sin la aprobación del Congreso.
Es muy probable que esta impugnación fracase. La CCPA no trata de forma diferente los intereses económicos dentro y fuera del estado, ni de manera que beneficie a las empresas de California y perjudique a las empresas de fuera del estado. Más bien, la CCPA impone obligaciones a todas las empresas que cumplen los requisitos mínimos de la CCPA.
¿Por fin una ley federal sobre privacidad?
En respuesta al creciente clamor por la uniformidad nacional, el Congreso seguirá trabajando en una ley federal de privacidad que incorpore los principios de la CCPA. La prevalencia y el derecho de acción privada seguirán siendo objeto de acalorados debates y retrasarán lo que, de otro modo, debería ser una fácil aprobación de una ley federal de privacidad.
No veremos una ley federal de privacidad en 2020 (principalmente porque los líderes del Congreso estarán ocupados primero con el proceso de destitución y luego con las elecciones de 2020), pero tal vez en 2021 o 2022.
Nacerá la CCPA 2.0
La ley de privacidad de California seguirá evolucionando. La nueva iniciativa de privacidad de California de Alastair Mactaggart, la Ley de Aplicación de la Privacidad de California (CPEA), se someterá a votación en noviembre de 2020 y se aprobará. Este avance aumentará la necesidad de uniformidad nacional y prevalencia federal.
La mirada puesta en el fiscal general
Las empresas de todo el país estarán pendientes de la oficina del Fiscal General de California para ver con qué rapidez actúa para hacer cumplir la CCPA, quiénes serán el blanco de la fiscalía y cuál será la severidad de las sanciones. En diciembre de 2019, el fiscal general Xavier Becerra anunció que, si las empresas no operan correctamente, su oficina «caerá sobre ellas y las convertirá en ejemplo, para demostrar que, si no se hace lo correcto, esto es lo que les va a pasar».
Aunque el Fiscal General no iniciará acciones coercitivas antes del 1 de julio de 2020, las medidas reguladoras y las multas de entre 2500 y 7500 dólares pueden basarse en conductas que hayan tenido lugar desde enero de 2020.
Acciones colectivas y mayor seguridad
Ahora que la Ley de Privacidad del Consumidor de California es la primera ley del país que prevé indemnizaciones por daños y perjuicios en casos de violación de datos, sucederán dos cosas. En primer lugar, California se convertirá en un punto caliente para las demandas colectivas por violación de datos. En segundo lugar, las empresas invertirán muchos más recursos en infraestructura de seguridad, cifrado, tecnología y formación para garantizar que cuentan con procedimientos y prácticas de seguridad sólidos (y no solo «razonables»).
Aplicaciones para «eliminarme»
Dado que la CCPA permite a los consumidores designar «agentes autorizados» para acceder y eliminar información en su nombre, los desarrolladores de aplicaciones crearán aplicaciones que permitan a los consumidores autorizar a la aplicación a enviar solicitudes de eliminación en su nombre a cientos de tiendas minoristas, sitios web, operadores en línea, plataformas de redes sociales y otras instituciones con un solo botón de «enviar».
Esto creará una industria artesanal para los desarrolladores de aplicaciones y supondrá una carga para las empresas, ya que es posible que muchos consumidores ni siquiera tengan una cuenta con el minorista o el sitio web. Sin embargo, la CCPA exigirá a la empresa que confirme la recepción de la solicitud, busque los datos correspondientes y, en última instancia, deniegue la solicitud porque no hay datos que eliminar.
Las respuestas manuales darán paso a procesos automatizados.
Las empresas seguirán intentando responder manualmente a las solicitudes de los consumidores para acceder y eliminar datos, pero para algunas empresas e industrias el esfuerzo será demasiado lento y propenso a errores. Las empresas verán las ventajas de los programas de respuesta automatizados y escalables y se verán incentivadas a prepararse para el futuro.
Cumplimiento de la ADA en el sitio web
Como parte de sus esfuerzos por cumplir con la normativa de privacidad, las empresas también se centrarán en hacer que sus sitios web sean accesibles para las personas con discapacidad. La CCPA exige que las empresas publiquen los avisos obligatorios y su política de privacidad en sus sitios web para que sean accesibles a los consumidores con discapacidad. Pero no servirá de mucho que la política de privacidad sea accesible si el resto del sitio web no lo es.
Varios tribunales de apelación de los Estados Unidos han dictaminado que los sitios web que tienen una conexión con un lugar físico de alojamiento deben cumplir con el Título II de la Ley de Estadounidenses con Discapacidades (ADA). En California, las infracciones de la ADA también constituyen infracciones de la Ley de Derechos Civiles Unruh de California, que permite a los demandantes recuperar daños y perjuicios de hasta tres veces los daños reales, pero no menos de 4000 dólares por infracción, además de los honorarios de los abogados. (Actualmente no existe ninguna prescripción legal para la accesibilidad web, pero los tribunales suelen referirse a las Pautas de Accesibilidad al Contenido Web (WCAG) 2.1 nivel AA como la norma adecuada).
