Lo que necesita saber sobre la nueva ley de privacidad de datos de California

A finales del mes pasado, California pasó un ley de privacidad de los consumidores que podrían forzar cambios significativos en las empresas que se ocupan de datos personales, y especialmente en las que operan en el espacio digital. La aprobación de la ley viene tras unos días de intensa negociación entre defensores de la privacidad, startups de tecnología, proveedores de redes, compañías de Internet de Silicon Valley y otros. Esas discusiones han dado lugar a lo que muchos están describiendo como una política histórica que constituye el régimen de protección de datos más estricto de los Estados Unidos.

Gran parte del impulso político detrás de la aprobación de la ley proviene de algunos grandes escándalos de privacidad que han salido a la luz en los últimos meses, entre ellos el Incidente de Cambridge Analytica que involucra datos de usuario de Facebook. Esta y otras noticias impulsaron el apoyo público a una iniciativa de votación sobre privacidad que habría instituido un régimen de protección de datos aún más estricto para las empresas que comercian con datos de consumo si los residentes del estado votaron a favor de aprobarlo en noviembre. Pero después intensa negociación, especialmente de las principales empresas de Internet y proveedores de servicios de Internet, los patrocinadores de la iniciativa electoral acordaron abandonar la iniciativa y apoyar la aprobación de la ley.

La nueva ley, la Ley de Privacidad del Consumidor de California, A.B. 375 — ofrece a los residentes de California una conjunto de nuevos derechos, empezando por el derecho a ser informado sobre qué tipos de datos personales han recopilado las empresas y por qué se recopilaron. Entre otras protecciones novedosas, la ley estipula que los consumidores tienen derecho a solicitar la eliminación de datos personales, optar por no vender información personal y acceder a la información personal en un «formato fácilmente utilizable» que permita su transferencia a terceros sin obstáculos.

La ley establece en particular una definición amplia de «información personal», dibujar en categorías de datos incluidos los identificadores personales de un consumidor, la geolocalización, los datos biométricos, el historial de navegación por Internet, los datos psicométricos y las inferencias que una empresa pueda hacer sobre el consumidor. Las protecciones sobre estos datos deben ser aplicadas por el fiscal general del estado, aunque los consumidores mantendrán un derecho privado de acción en caso de que las empresas no mantengan prácticas de seguridad razonables, resultando en un acceso no autorizado a los datos personales. (La protección contra violaciones de datos se aplica a un conjunto de datos personales que es más estrecho que el protegido en las protecciones de privacidad más generales.)

Tal vez el problema principal que las empresas están lidiando con es que los requisitos de la ley podrían amenazar los modelos empresariales establecidos en todo el sector digital. Por ejemplo, las empresas que generan ingresos de publicidad dirigida a través de plataformas de Internet (como Facebook, Twitter y Google) deben, como la ley está redactada actualmente, permitir a los residentes de California eliminar sus datos o llevarlos con ellos a proveedores de servicios alternativos. Esta restricción podría extenderse a proveedores de servicios de Internet como AT&T y Verizon, que recopilan datos de actividad de banda ancha (datos de navegación web) y podrían intentar utilizarlos para generar perfiles de comportamiento que permitan la publicidad digital. Estas medidas podrían reducir significativamente los beneficios de que disfrutan actualmente estas empresas o obligar a ajustar sus estrategias de crecimiento de los ingresos. También podrían afectar aún más a cualquier empresa que se publique en plataformas digitales, ya que el servicio que están adquiriendo —publicidad altamente orientada— podría ser menos preciso como resultado de las nuevas protecciones que se ofrecen a los consumidores individuales.

Algunas empresas perderán aún más. Los agentes de datos como Acxiom, Epsilon, Experian y Oracle, por ejemplo, generan beneficios al recopilar cantidades de datos sobre consumidores individuales y venderlos a terceros, ya sean redes publicitarias, vendedores minoristas o cualquier otro tipo de negocio interesado. Estos son precisamente los tipos de prácticas que se ven directamente amenazados por los derechos del consumidor a la supresión y a la exclusión de la venta de datos.

Si bien la ley, que entrará en vigor a principios de 2020, técnicamente sólo se aplica a los residentes de California, lo más probable es que implicaciones mucho más amplias. La mayoría de las principales empresas que comercian con datos de consumo, desde minoristas hasta proveedores de redes celulares hasta empresas de internet, tienen algunos clientes californianos. Esto dejará a esas empresas con dos opciones principales: o bien reformar sus infraestructuras globales de protección de datos y derechos de datos para cumplir con la ley de California, o instituir un régimen de datos de mosaico en el que los californianos sean tratados de una manera y a todos los demás de otra manera. Esa última opción puede ser más costosa para las empresas, y podría desgruntar a los clientes no californianos en caso de que el proveedor de servicios les dé menos opciones de privacidad de datos. De hecho, preguntas similares sobre los derechos de datos de los estadounidenses surgió durante el testimonio del Congreso de Mark Zuckerberg en relación con el cumplimiento por parte de Facebook de las nuevas normativas europeas.

Críticamente, la legislatura ha dejado abierta la puerta a las enmiendas a la nueva ley. También podemos esperar que el fiscal general del estado trabaje con las partes interesadas públicas para desarrollar directrices de cumplimiento más específicas para la industria en los próximos meses. En el tiempo anterior a la aplicación de la ley, es probable que veamos más debate entre los líderes de la industria, los defensores de los consumidores y todos los demás, todos los cuales desearán afectar a la ley y a su aplicación en beneficio propio.