Carlos B Fernández. El uno de enero de 2020 ha entrado en vigor la California Consumer Privacy Act of 2018, una ley destinada a proteger los datos personales de los ciudadanos de ese estado norteamericano, en una línea de evidente paralelismo con el Reglamento europeo de protección de datos (RGPD).
Si bien esta ley tiene un ámbito de aplicación limitado al estado californiano, pues se aplica a las personas físicas residentes en el mismo (“a California resident”), la importancia de las empresas afectadas por la misma, que incluye a gigantes como Google, Facebook, Amazon y Microsoft, la dota en la práctica de una importancia nacional, pues, como señaló en su momento la experta en ciberseguridad Cynthia Larose en Time Magazine, “va a resultar muy difícil para estas empresas mantener dos ámbitos de protección de la privacidad de los ciudadanos diferentes, uno estatal y otro nacional”.
Tras múltiples presiones de la industria para flexibilizar su contendio, la ley, que fue promulgada por el gobernador del Estado Jerry Brown, el 28 de junio de 2018 (aunque, de acuerdo con el proceso legislativo del Estado, fue objeto de modificaciones introducidas en 11 de octubre de 2019), constituye en realidad una modificación del Código Civil de California (California Civil Code) y, en concreto, de la parte 4 de la Division 3 (Part 4 of Division 3), a la que se incorpora mediante la adición de un nuevo Título 1.81.5.
Principios rectores
La Ley parte del reconocimiento de que "a medida que aumenta el papel de la tecnología y los datos en las vidas diarias de los consumidores", aumenta también la cantidad de información personal que estos comparten con las empresas. Y esta proliferación de información personal gestionada por las empresas “ha limitado la capacidad de los californianos para proteger y salvaguardar su privacidad", pues en la actualidad "es casi imposible solicitar un empleo, criar a un niño, conducir un automóvil o concertar una cita sin compartir información personal".
Por otra parte, una serie de audiencias celebradas en el Congreso de los EEUU tras el conocimiento del escándalo Cambridge Analytica puso de manifiesto "que nuestra información personal puede ser vulnerable al mal uso cuando se comparte en Internet" y, por ello, está aumentando nuestro deseo de controles de privacidad y transparencia en las prácticas de datos, pues "la divulgación no autorizada de información personal y la pérdida de privacidad pueden tener efectos devastadores para las personas, desde fraude financiero, robo de identidad y costos innecesarios para el tiempo y las finanzas personales, hasta la destrucción de propiedad, acoso, daño reputacional y estrés emocional, e incluso daño físico potencial".
Por ello, destaca la Ley, “Las personas desean privacidad y más control sobre su información”, por lo que, se añade, “Los consumidores de California deberían poder ejercer control sobre su información personal, y quieren estar seguros de que existen salvaguardas contra el uso indebido de su información personal.”
Por lo tanto, la intención de esta ley es promover el derecho de los californianos a la privacidad y brindarles una forma efectiva de controlar su información personal, garantizando los siguientes derechos:
1) Saber qué información personal se recopila sobre ellos.
2) Saber si su información personal es vendida o revelada y a quién.
3) Negarse a la venta de su información personal.
4) Acceder a su información personal tratada por las empresas.
5) Derecho a un servicio y precio iguales, incluso si ejercen sus derechos de privacidad.
Destinatarios de la Ley
La Ley va dirigida a cualquier empresa individual, sociedad, compañía de responsabilidad limitada, corporación, asociación u otra entidad legal que está organizada u operada con el fin de obtener ganancias o beneficios financieros de sus accionistas u otros propietarios, que recopila información personal de los consumidores, o en cuyo nombre se recopila dicha información y que por sí sola, o conjuntamente con otros, determina los propósitos y medios del procesamiento de la información personal de los consumidores; que hace negocios en el Estado de California, y que satisface uno o más de los siguientes umbrales: a) Obtiene unos ingresos brutos anuales superiores a los veinticinco millones de dólares; b) Solo o en combinación con otras empresas, compra anualmente, recibe para los propósitos comerciales del negocio, vende o comparte para propósitos comerciales, solo o en combinación, la información personal de 50.000 o más consumidores, hogares o dispositivos, o c) obtiene el 50 por ciento o más de sus ingresos anuales de la venta de información personal de los consumidores.
A efectos de la CCPA, se entiende por “Consumidor” una persona física residente en California.
Contenido de la California Consumer Privacy Act
De un análisis básico de la norma, podemos destacar que, de acuerdo con la nueva ley, los consumidores californianos ven reconocidos los siguientes derechos:
• Derecho a ser informado sobre el tratamiento de sus datos y la finalidad del mismo (§ 1798.100 y 1798.110)
a) Un consumidor tiene derecho de solicitar a una empresa (“a business”) que recopile información personal sobre el mismo, a que le informe del tipo y contenido de la misma.
En particular, esta información incluirá:
1) El tipo de datos personales recogidos sobre ese consumidor
2) Las fuentes de las cuales proceden dichos datos
3) La finalidad de la recogida o venta de esos datos
4) Los terceros con quienes se comparte esa información personal.
5) El contenido concreto de los datos personales (“the specific pieces of personal information”) que ha recopilado sobre ese consumidor.
Las empresas que traten datos estarán obligadas dos o más medios para solicitar esa información, incluyendo un número de teléfono gratuito y una dirección de internet. La empresa solo estará obligada a facilitarla si recibe una solicitud verificable del consumidor (“only upon receipt of a verifiable consumer request”). Una vez recibida la petición, deberán atenderla, sin cargos, en un plazo de 45 días (§ 1798.130).
Y en paralelo,
b) Una empresa que recolecte información personal sobre un consumidor deberá, en el momento de su recogida o previamente al mismo (“at or before the point of collection”), informarle sobre las categorías de información personal recogida (“the categories of personal information to be collected”) y la finalidad de la misma. La empresa no deberá recolectar otro tipo de datos o usar de los que ya disponga, para propósitos adicionales (“for additional purposes”) sin proveer al consumidor de forma consistente con esta sección.
• Derecho a la supresión de datos personales (§ 1798.105)
Los consumidores tienen derecho a solicitar que una empresa elimine (“delete”), cualquier dato personal que haya recogido sobre el mismo. La empresa deberá eliminar la información personal del consumidor de sus registros e indicará a cualquier proveedor de servicios que la utilice (“any service providers”) que la elimine a su vez de sus registros, a no ser que dicha información sea necesaria para, entre otras finalidades, ejecutar un contrato, cumplir con sus obligaciones legales, o asegurar el ejercicio de derechos, como el de la libertad de expresión, de terceros.
• Derecho a ser informado de la venta de sus datos a un tercero, a la finalidad de dicha venta y a oponerse a la misma (§ 1798.115 y 1798.120)
Este derecho incluye la obligación de las empresas a que incluyan en sus páginas web un botón “No vendan mis datos” (“Do Not Sell My Personal Information”), de forma razonablemente accesible para los usuarios (§ 1798.135)
El derecho incluye asimismo la prohibición de que se vendan los datos de los menores de 16 años, a no ser que conste su autorización expresa si cuentan entre 13 y 16 años y de sus padres o tutores si son menores.
Sin embargo, la ley reconoce también a las empresas la posibilidad de ofrecer a los consumidores ciertos incentivos financieros, incluido el pago directo, por la recopilación, venta y eliminación de su información personal. Estos incentivos pueden variar en función del valor aportado al comprador por los datos del consumidor (“A business may offer financial incentives, including payments to consumers as compensation, for the collection of personal information, the sale of personal information, or the deletion of personal information. A business may also offer a different price, rate, level, or quality of goods or services to the consumer if that price or difference is directly related to the value provided to the consumer by the consumer’s data”) (§ 1798.125).
Según Neill y Lee esta medida permite vaticinar un incremento de las ofertas a los consumidores a cambio de sus datos, lo cual podría reducir el efecto de la norma si muchos usuarios las aceptaran a cambio de precios bajos.
• Derecho a no ser discriminado por las empresas con motivo de haber ejercido alguno de los derechos que le han sido reconocidos por esta ley (§ 1798.125)
• Derecho a ser indemnizado por los daños sufridos como consecuencia del acceso no autorizado, la difusión, robo o revelación de sus datos como consecuencia del incumplimiento de la obligación de disponer y mantener medidas de seguridad razonablemente adecuadas (“reasonable security procedures”), por parte de la empresa (§ 1798.150)
Esta norma deberá ser interpretada de manera amplia, para asegurar su cumplimiento (“This title shall be liberally construed to effectuate its purposes”) (§ 1798.194).
Las diferentes perspectivas de la privacidad entre EEUU y Europa
Javier Fernández-Samaniego, socio director de Samaniego Law, firma española con presencia en EEUU, destaca que si bien esta ley impone obligaciones de transparencia en el tratamiento de la información, exige actualizar las políticas de privacidad y documentar mejor el tratamiento de lo que se define como información personal -que también incluye datos de hogares- , así como impartir formación y trainings, dar mejor respuesta a los derechos ejercitados por los ciudadanos y ser más estricto en la gestión de las brechas de seguridad (auténtica pesadilla en EEUU), dista mucho de ser una ley de protección de datos “a la europea”.
No hay que olvidar, advierte este experto, que la concepción de la protección de datos como derecho fundamental incardinado en el artículo 8.1 de la Carta de los Derechos Fundamentales de la UE dista mucho de la concepción americana, aunque estados como el de California reconocen el derecho a la privacidad como un derecho inalienable de los individuos desde su Constitución de 1972. Estados Unidos, explica, es un país que aborda los datos como una cuestión de comercio y consumo. Por ello, el incentivo al cumplimiento de la normativa de protección de datos no proviene de la disuasión que puedan implicar multas multimillonarias impuestas por los supervisores sino -sobre todo- por el temor a las temidas “class action”, por las compensaciones a que puede obligar en favor de los particulares y por los daños reputacionales asociados.
Por todo ello, señala también Fernández-Samaniego, no debe caerse en analogías fáciles y erróneas al comparar la CCPA con el RGPD europeo, ni tampoco caer en el voluntarismo de que EEUU vaya aprobar de forma inminente una Ley Federal de privacidad ante la presión del CCPA o el caso Facebook. Aunque algunos ven en el CCPA y la ley brasileña de protección de datos la prueba de que Europa ha sido capaz de convertir el RGPD en un estándar internacional, el abogado español considera que esta norma es ciertamente una inspiración, pero que realmente estamos ante la aparición de otro modelo que, unido a los principios de privacidad del Foro Económico de Asia-Pacífico/APEC, parece la génesis no de la extensión del modelo sino de un nuevo modelo adaptado a la tremendamente distinta concepción americana de la privacidad.
No coincide totalmente con esta opinión Alejandro Padín, abogado de Garrigues, quien considera que si bien la CCPA no llega al nivel de exigencia del RGPD ni en cuanto al alcance ni en cuanto a su contenido, supone una novedad legislativa de enorme relevancia en el ordenamiento jurídico de los EEUU y representa un avance muy significativo en materia de protección de datos en ese país.
Padín destaca en este sentido que si bien la norma se refiere únicamente a datos de consumidores, regula con gran detalle algunos derechos como el de acceso, el de eliminación de los datos a petición del usuario, o el de opososición a que la empresa que trata sus datos los pueda vender sin su consentimiento.
Este experto considera además que la CCPA "ha producido y está produciendo en el entorno jurídico y empresarial de ese estado americano un efecto muy similar al que tuvimos en la Unión Europea en los meses inmediatamente anteriores y posteriores al 25 de mayo de 2018". En particular, destaca, "estamos viendo dos efectos que nos suenan mucho a este lado del Atlántico: uno, falta de previsión por parte de los operadores económicos obligados (efecto “nos ha pillado el toro”) y otro, consecuencia del anterior, peticiones al legislador de aplicación de plazos de gracia, que ya han sido rechazadas por la administración".
Por todo ello, concluye, si bien la ley californiana establece una protección muy básica, en especial en comparación con el estándar europeo, puede ser el germen de una regulación de la protección de datos en EEUU a nivel federal.