A partir de julio, la Ley de Privacidad del Consumidor de California entrará en vigor. ¿Se producirá rápidamente una avalancha de litigios? ¿Y cómo pueden las empresas evitar verse envueltas en ella?
La CCPA ha sufrido más modificaciones y enmiendas de las que le correspondían a lo largo del tiempo. Una cosa que se ha mantenido firme es el hecho de que la oficina del fiscal general de California no va a ceder en la aplicación de la ley, incluso con las perturbaciones impuestas por la COVID-19:
«En este momento, nos comprometemos a hacer cumplir la ley una vez que se hayan ultimado las normas o el 1 de julio, lo que ocurra primero. Todos somos conscientes de la nueva realidad creada por la COVID-19 y del mayor valor que ha adquirido la protección de la privacidad de los consumidores en Internet».
Los cambios que se han producido en la CCPA y las demás normativas que están surgiendo o se han propuesto en diversas regiones, países y estados no hacen más que subrayar la naturaleza cambiante del panorama de la privacidad de los datos. Iniciativas como las emprendidas por la Comisión de Leyes Uniformes tienen por objeto unificar de manera coherente las leyes de privacidad de datos de EE. UU., pero nadie sabe cuándo se hará realidad.
Cinco datos clave sobre la nueva realidad de la privacidad de los datos
¿Mientras tanto? La entrada en vigor de la CCPA convierte el cumplimiento de la normativa de privacidad de datos en una realidad urgente para cientos de miles de empresas que comercian con residentes de California.
Como se suele señalar, «la regulación genera litigios», especialmente cuando una nueva ley otorga a los demandantes el derecho a reclamar daños y perjuicios a las empresas que la hayan infringido. La CCPA no será una excepción, ya que es posible que se produzca una auténtica fiebre del oro en California a medida que los litigantes más agresivos presenten demandas. Algunos ni siquiera se han molestado en esperar a que entre en vigor.
Hay cinco aspectos clave que los departamentos jurídicos y los equipos de riesgo y cumplimiento normativo de las empresas se ven ahora obligados a aceptar en relación con esta situación, y que deben utilizar para orientar sus acciones a medida que nos adentramos en este nuevo territorio inexplorado:
Prepárate para los cambios que se avecinan.
La imposición de la aplicación de la CCPA es una certeza, pero la futura llegada de otras normativas sobre privacidad de datos en otros lugares y sectores es igualmente cierta. ¿Incluso en los casos en los que ya se han establecido normas estrictas? Existe la posibilidad de que se impongan nuevas restricciones.
Por ejemplo, los partidarios de la CCPA están proponiendo ahora una Ley de Derechos de Privacidad de California (CPRA) que reforzaría los derechos de los consumidores y aumentaría aún másel riesgo para las empresas . Por lo tanto, es esencial mantenerse al tanto de sus obligaciones en virtud de la legislación vigente y estar atento a posibles enmiendas o nuevas leyes.
Para hacer frente a cualquier otro cambio que se avecine, las empresas deben admitir primero que esta es la nueva realidad empresarial. A continuación, deben estar dispuestas a adoptar los marcos y herramientas de gobernanza de datos que les proporcionen la flexibilidad y agilidad que necesitan para mantener el cumplimiento normativo. Solo así podrán hacer frente no solo a una mayor regulación en más mercados, sino también al hecho de que estas regulaciones son fluidas y están sujetas a revisiones y modificaciones constantes.
La pandemia ha intensificado el escrutinio de la privacidad de los datos.
Como mencionamos anteriormente, los reguladores en general no están dispuestos a levantar el pie del acelerador en lo que respecta a la aplicación de la normativa sobre privacidad de datos solo por una crisis de salud pública de proporciones sin precedentes. Más bien, casi a diario surgen nuevas demandas de más normas de privacidad de datos como consecuencia de la pandemia.
Hace unos meses, ¿cuántos estadounidenses usaban Zoom en su día a día? Pero ahora hay se multiplican las demandas y otras amenazas legales derivadas de la supuesta falta de preparación de la plataforma para convertirse en la columna vertebral del teletrabajo. Incluyendo, por supuesto, la exigencia de nuevas regulaciones sobre servicios como Zoom.
El uso de tecnologías como la inteligencia artificial para contener el virus ha suscitado preocupaciones sobre la privacidad de los datos, así como sobre la forma en que se manejan los datos en otras áreas de la atención sanitaria. Ya se han presentado proyectos de ley federales para limitar la divulgación de datos al gobierno, entre otras medidas de protección propuestas.
Los procesos operativos están generando riesgos
¿Los procesos empresariales que son fundamentales para muchas organizaciones? Por varias razones, ahora son una fuente de riesgo para esas empresas. Un riesgo que los reguladores y los litigantes privados estarán encantados de aprovechar.
En primer lugar, está el simple hecho de que estos los procesos pueden no tener ha sido renovado cumplir con la CCPA u otras normativas de privacidad de datos. ¿Por qué? ¿Por qué una empresa no cumpliría con esto? Es posible que no comprendan completamente las regulaciones o las implicaciones para su negocio, o simplemente no hayan dedicado los recursos adecuados para cumplir con las normas, ya sea porque no vieron la necesidad, carecían de los medios o consideraron que sus sistemas y procesos existentes eran «suficientemente buenos» para salir del paso.
Pero las complejidades del cumplimiento de la privacidad de los datos pueden suponer un obstáculo muy profundo y peligroso para quienes no están preparados. Especialmente porque leyes como la CCPA hacen que una empresa sea responsable de los errores en el tratamiento de datos de sus socios y terceros. Una supervisión deficiente, unos procesos manuales y centrados en el papel, y unas prácticas de almacenamiento de datos obsoletas son la receta perfecta para una sanción regulatoria.
En una situación como la pandemia de COVID-19, los peligros de los procesos deficientes de privacidad de datos solo se magnifican a medida que los empleados trabajan de forma remota. Al realizar su trabajo, ¿a qué información de identificación personal (PII) de clientes y posibles clientes tienen acceso? ¿Con quién la comparten? ¿En qué dispositivos?
Para que estos procesos cumplan con la normativa, solo hay que comprometerse a implementar las herramientas adecuadas. En especial, la automatización de los flujos de trabajo para sustituir los procesos obsoletos y que no cumplen con la normativa por versiones automatizadas en las que el cumplimiento de la CCPA esté integrado desde el principio, incluso para los empleados remotos.
Una preparación temprana mitiga esos riesgos.
Adoptar un enfoque proactivo con respecto a la CCPA u otras normativas de privacidad de datos puede evitar problemas operativos, daños a la reputación y pérdidas económicas derivadas de sanciones y litigios posteriores.
¿Algunas de las medidas a tomar? Implementar un marco de gobernanza de datos es un primer paso fundamental, y determinar cuáles son sus objetivos para el uso de los datos es una consideración clave. Establecer este tipo de marco implica el compromiso y el trabajo duro de una amplia gama de partes interesadas en cualquier organización, pero es obligatorio, y los resultados a largo plazo merecen la pena.
A continuación, debe identificar qué prácticas y procesos pueden ser problemáticos en lo que respecta al riesgo de privacidad de los datos. A partir de ahí, se trata de explorar y evaluar las soluciones disponibles para renovar esos procesos y dotarse de la agilidad, la capacidad de respuesta, la transparencia y la supervisión necesarias para un cumplimiento efectivo.
Los demandantes y los litigantes se ciernen sobre el caso.
Dejando por un momento a un lado la privacidad de los datos, examinemos un ámbito algo más consolidado en los litigios relacionados con el ámbito digital. El número de demandas presentadas en virtud del Título III de la Ley de Estadounidenses con Discapacidades (ADA) siguió aumentando en 2019, superando el récord del año anterior con más de 3000 nuevos casos relacionados con la accesibilidad de los sitios web. Esta es una lección que no deben pasar por alto las empresas que se enfrentan a la CCPA: una vez más, casi cualquier nueva normativa ofrece una nueva vía a los demandantes que buscan dar el golpe.
De hecho, ya se han presentado demandas contra empresas como Salesforce, Ring y Clearview AI por presuntas violaciones de la CCPA. Y, como mencionamos anteriormente, Zoom ha sido objeto de tres demandas colectivas en virtud de la CCPA desde el 30 de marzo.
En la demanda contra Clearview AI, se alega que la empresa también está infringiendo la Ley de Privacidad de la Información Biométrica (BIPA) de Illinois, que ha sido una «fuente constante de litigios desde» su entrada en vigor en 2008, generando cientos de casos. Esto podría ser un indicio de lo que nos espera en el futuro con la CCPA, donde los casos proliferan frenéticamente. Hay que tener en cuenta, además, que la BIPA aborda un espectro más reducido de la privacidad de los datos que la ley de California.
Nuevas complicaciones derivadas del teletrabajo
¿Otro inconveniente? El repentino giro hacia el teletrabajo ha dado lugar a nuevos riesgos. Cuando los empleados están cada vez más dispersos, pero siguen teniendo acceso a los datos personales de los clientes, aumenta el peligro de que esta información se maneje de forma inadecuada. Y, como hemos visto, los reguladores y los litigantes no están dispuestos a dar carta blanca a las empresas, haya o no COVID-19.
Algunas empresas ya han tomado medidas para integrar el cumplimiento de la CCPA, el RGPD y otras normativas de privacidad de datos en sus operaciones. Lo han hecho renovando los procesos básicos con nuevas soluciones, como la automatización de flujos de trabajo o herramientas para descubrir y almacenar los datos reales que poseen sus empresas.
Por lo tanto, es responsabilidad de cualquier empresa afectada por la CCPA informarse sobre las diversas soluciones disponibles para superar los riesgos que plantea la CCPA. Ese es un primer paso clave para protegerse y evitar convertirse en una víctima de esta «fiebre del oro» moderna.
Para obtener más información sobre cómo navegar por las complejidades legales y de cumplimiento normativo de un entorno de trabajo desde casa, consulte este seminario web.
