Carlos B Fenández. La entrada en vigor del Reglamento General de Protección de Datos (LA LEY 6637/2016) (RGPD) ha empezado a obrar rápidos e inesperados efectos en los Estados Unidos.
La preocupación que su rigor y carácter expansivo provocó desde el principio en las grandes empresas tecnológicas norteamericanas, aumentó en junio pasado cuando el Estado de California aprobó una ley de protección de privacidad de los consumidores. Esta norma reconoce a los ciudadanos de ese Estado unos derechos de información y control sobre sus datos, no muy diferentes de los establecidos por el Reglamento europeo.
Por eso las compañías tecnológicas, que tienen organizada buena parte de su negocio en torno a los datos de sus usuarios, han percibido esta norma como una amenaza para su actividad.
Se activa el lobby empresarial
Así, en la reunión de la patronal de las empresas tecnológicas norteamericana (Information Technology Industry Council), celebrada en mayo pasado, estas compañías se manifestaron preocupadas por la posibilidad de que, impulsados por el creciente interés de la ciudadanía por la protección de su privacidad, consecuencia de los numerosos casos de abusos que se están conociendo, el resto de Estados norteamericanos sigan el ejemplo californiano, provocando con ello la aparición de un auténtico mosaico de leyes estatales que no solo afectaría al desarrollo de sus negocios, sino que se convertiría en una pesadilla regulatoria.
Por ello, grandes corporaciones como Facebook, Google, IBM o Microsoft, entre otras, han puesto en marcha sus poderosos mecanismos de presión institucional o lobby, a fin de lograr que la administración Trump impulse la aprobación de una ley federal de privacidad.
A este respecto, en un primer momento se apreció una diferencia en la actitud de compañías cuyo modelo de negocio se basa principalmente en el software y el almacenamiento de datos, como como IBM o Salesforce, más propensas a aceptar una regulación más estricta en favor de los usuarios, frente a la de otras como Google o Facebook, cuya actividad se basa en la publicidad basada en los datos de los usuarios y que por tanto, se manifestaban opuestas a una regulación estricta.
Pero en esa reunión, como explica Cecilia Kang en el New York Times, pronto se hizo evidente que Facebook y Google suavizaban su resistencia a una ley de privacidad federal a cambio de involucrarse profundamente en su redacción.
Y ello teniendo en cuenta, en particular, la actitud business-friendly (favorable a las empresas) de la administración Trump en relación con esta nueva normativa, pues como, siempre según Kang, manifestó en un comunicado Lindsay Walters, vicesecretaria de prensa de la Casa Blanca, dicha administración pretende trabajar con el Congreso sobre una norma que mantenga "el equilibrio apropiado entre privacidad y prosperidad [de las empresas]".
Según Chris Padilla, vicepresidente de asuntos gubernamentales y regulatorios de IBM, este cambio de criterio se debe a que las empresas ya han asumido que no pueden negarse al establecimiento de unas reglas que protejan la privacidad de los usuarios.
Objetivo de la normativa
El objetivo de esta iniciativa es doble: neutralizar, por un lado, la ley del Estado de California y establecer en su lugar un conjunto de reglas más amables con estas compañías, permitiéndoles un amplio margen de trabajo con la información digital personal de sus usuarios, por otro.
Como ejemplo del tipo de regulación que se pretende introducir, Kung destaca que por parte de algunos grupos empresariales, como la Cámara de Comercio de Estados Unidos (U.S. Chamber of Commerce), la Asociación de Internet (Internet Association) y el mencionado Consejo de la Industria de Tecnología de la Información (Information Technology Industry Council), se está planteando impulsar la adopción de normas voluntarias en lugar de mandatos legales que pudiesen acarrear fuertes sanciones en caso de incumplimiento.
Esta postura ha sido contestada por los grupos defensores de la privacidad, como Common Sense Media, que considera ridículo que empresas que durante más de una década han vulnerado la privacidad de sus usuarios pretendan ahora establecer un marco auto-regulatorio sobre esta materia.
Audiencia de las tecnológicas en el Senado
La cuestión ya ha llegado hasta el Senado de los Estados Unidos, donde el pasado jueves 27 de septiembre el Comité de Comercio, Ciencia y Transporte celebró una audiencia (hearing) en la que representantes de las empresas tecnológicas pudieron exponer sus puntos de vista sobre esta futura normativa federal.
Según informa Caroline Spierzio en Law.com, en dicha sesión, diversos representantes de la industria, como el vicepresidente de AT&T, Len Cali, manifestaron su opinión de que un marco normativo a nivel de cada estado solo sería perjudicial para los consumidores y las empresas, por lo que “existe un acuerdo generalizado entre la industria, los legisladores y muchos grupos de consumidores sobre la necesidad de una nueva y completa ley de privacidad federal".
Esa postura contrastó con la opinión expresada por algunos senadores en el sentido de que ese impulso a una norma de ámbito federal podría ser la forma en que las empresas intentan evitar otras leyes estrictas de privacidad como la Ley de Privacidad del Consumidor (CCPA) de California, por medio de una ley nacional potencialmente más relajada.
En este sentido el senador Ed Markey expresó que "nuestro objetivo debe ser garantizar que cualquier ley que apruebe este comité sea una ley sólida. No necesitamos aprobar en Washington leyes ‘débiles’ que anulen leyes ‘fuertes’ de California".
A este respecto, los representantes de la industria, como el mencionado Len Cali, el vicepresidente de tecnología de software de Apple, Guy Tribble, y el director de privacidad de Google, Keith Enright, expresaron su preocupación porque la adaptación a regulaciones tan estrictas como RGPD les exigiera un volumen tal de recursos que expulsara del sector a competidores pequeños y medianos.
En concreto, Enright declaró ante el Comité que los preparativos de Google para adaptarse al RGPD GDPR (LA LEY 6637/2016) les habían requerido "cientos de años en horas de trabajo" y Damien Kieran, responsable de protección de datos en Twitter, destacó que su compañía también había sufrido dificultades para cumplir con la exigente normativa europea.
Por otra parte, tanto Enright como el vicepresidente y consejero delegado asociado de Amazon, Andrew DeVore, expresaron su deseo de contar una definición más clara de dato personal que las ofrecidas por el RGPD o el CCPA.
Según De Vore "La definición de 'dato personal' contenida en la CCPA va más allá de la información que realmente identifica a una persona, pues incluye cualquier información que 'podría vincularse a una persona', lo que puede decirse que es cualquier información. El resultado es una ley que no solo es confusa y difícil de cumplir, sino que puede socavar prácticas importantes de protección de la privacidad, al alentar a las empresas a manejar los datos de una manera que no esté directamente relacionada con la identidad del consumidor".
Por su parte, la representante de Charter Communications Inc., Rachel Welch, sugirió que la recopilación y el uso de datos en modalidad "opt-in" (que requiere que el usuario preste expresamente consentimiento al tratamiento de sus datos clicando en la casilla de validación) se convierta en el estándar.
Según el New York Times, si bien la intención de la administración norteamericana es disponer de un borrador de la futura norma federal hacia fin de año, es probable que este plazo se prolongue, dado el interés en participar en el debate que han mostrado numerosos organismos y entidades.