Carlos B Fernández. La Ley de defensa de privacidad del consumidor de California (California Consumer Privacy Act, CCPA), la norma extracomunitaria más próxima al Reglamento general de protección de datos (LA LEY 6637/2016) europeo (RGPD), entrará en vigor el próximo mes de enero (aunque no será aplicable hasta el 1 de julio de 2020). Pero antes de ese momento, está siendo sometida a múltiples presiones para limitar o controlar sus efectos, por parte del lobby empresarial tecnológico de ese país.
Sin embargo, la reiteración de denuncias y noticias sobre abuso en el uso de los datos por diferentes empresas está aumentando la preocupación por la defensa de la privacidad de los ciudadanos.
Por ello, los impulsores de aquella primera norma ya están promoviendo la aprobación de una nueva Ley que amplíe los derechos de los titulares de los datos y potencie sus garantías, la "California Privacy Rights and Enforcement Act of 2020" (ley de derechos de la privacidad y su protección de California). Esta propuesta, muy claramente influida por el RGPD, ya ha sido presentada ante los organismos legislativos correspondientes, con el objetivo, según sus promotores, de que sea tramitada durante 2020.
Motivos para una nueva ley
Según la interesante exposición de motivos que acompaña a la propuesta, La CCPA otorga a los consumidores de California el derecho a conocer la información que una empresa ha recopilado sobre ellos, a eliminar su información personal, a impedir que las empresas vendan su información personal o la utilicen para ofrecerles publicidad basada en sus hábitos y permite responsabilizar a las empresas si no toman medidas razonables para salvaguardar su información personal.
Sin embargo, añade el texto, incluso antes de que la CCPA entrara en vigor, las empresas han tratado de limitar su alcance por medio de más de una docena de proyectos de ley para enmendarla, en una línea que parece previsible que continúe. Por tanto, advierten, a menos que los ciudadanos de California adopten medidas para evitarlo, “los derechos que los consumidores han ganado podrían ser socavados por las grandes empresas”.
Para ello, California debería fortalecer los derechos de los consumidores, incluyendo mecanismos como la imposición de restricciones sobre el uso de la información personal por parte de las empresas; limitando el tiempo que estas pueden conservar esa información; permitiendo que los consumidores opten por que se utilice su información personal confidencial para el envío de publicidad y marketing; exigiendo a las empresas que corrijan la información inexacta que manejen; obligándolas a que revelar el uso de información para fines políticos; haciéndolas responsables de las violaciones de seguridad de los datos y de notificar las brechas de seguridad identificadas, así como creando una autoridad independiente con la misión de proteger la privacidad de los consumidores, garantizar que las empresas y los consumidores estén bien informados sobre sus derechos y obligaciones y hacer cumplir estrictamente la ley a las empresas que violen los derechos de privacidad de los consumidores.
Principios rectores de la nueva ley propuesta
Según la propuesta, que ya ha sido presentada, la California Privacy Rights and Enforcement Act debe regirse por los siguientes principios:
A. Derechos de los consumidores
1. Los consumidores deben saber quién está recopilando su información personal, cómo se está utilizando y a quién se divulga.
2. Los consumidores deben tener un control significativo sobre su información personal, incluyendo la de carácter sensible, así como capacidad real (meaningful options) de decidir sobre cómo se recopila, utiliza y divulga la misma.
3. Los consumidores deben tener acceso a su información personal y deben poder corregirla, eliminarla y llevarla consigo de una empresa a otra.
4. Los consumidores y sus agentes autorizados deben poder ejercer estos derechos a través de herramientas de autoservicio de fácil acceso.
5. Los consumidores deben poder ejercer estos derechos sin ser penalizados por ello.
6. Los consumidores deben poder exigir responsabilidad a las empresas por no tomar las precauciones razonables para proteger su información personal más delicada de los piratas informáticos y las brechas de seguridad.
7. Los consumidores deberían beneficiarse del uso de su información personal por parte de las empresas.
B. Responsabilidad de las empresas
1. Las empresas deben informar específica y claramente a los consumidores acerca de cómo recopilan y utilizan la información personal de su titularidad y cómo pueden ejercer sus derechos y opciones. Las empresas no deben recopilar información personal de los menores sin su consentimiento.
2. Las empresas sólo deben recopilar información personal de los consumidores para fines específicos, explícitos y legítimos, y no deben seguir recopilando, utilizando o divulgando la información personal de los consumidores por razones incompatibles con dichos fines.
3. Las empresas deben recopilar la información personal de los consumidores sólo en la medida en que sea pertinente y se limite a lo que sea necesario en relación con los fines para los que se recopila, utiliza y comparte.
4. Las empresas deben proporcionar a los consumidores o a sus representantes autorizados herramientas de fácil acceso que les permitan conocer la información personal de la que son titulares que está siendo tratada, eliminarla o corregirla, así como excluir la venta de su información personal, incluida la publicidad conductual extraida del contexto (cross-context behavioral advertising) y el uso de su información personal confidencial para publicidad y marketing.
5. Las empresas no deben penalizar a los consumidores por ejercer estos derechos.
6. Las empresas que utilizan la información personal de los consumidores para promover sus propios fines políticos deben revelar este hecho.
7. Las empresas deben tomar las precauciones adecuadas para proteger la información personal de los consumidores de una violación de la seguridad.
8 . Las empresas deben rendir cuentas cuando violan los derechos de privacidad de los consumidores. Las sanciones que se establezcan deben ser mayores cuando la violación afecta a menores.
C . Aplicación de la Ley
1. Los derechos de los consumidores y las responsabilidades de las empresas deben implementarse con el objetivo de maximizar la privacidad del consumidor, al tiempo que se minimizan las regulaciones establecidas por las propias empresas que no promuevan ese objetivo.
2. Las empresas y los consumidores deben recibir una orientación clara sobre sus responsabilidades y derechos.
3 . La ley debe adaptarse a los cambios tecnológicos, ayudar a los consumidores a ejercer sus derechos y ayudar a las empresas a cumplir sus obligaciones. Las nuevas tecnologías, o los nuevos usos de las viejas, deben evaluarse a la luz de su impacto en la privacidad del consumidor, con el objetivo continuo de maximizar razonablemente la privacidad del consumidor.
4. Las empresas deben responder de las violaciones de la ley a través de rigurosos mecanismos administrativos y civiles.
Principal contenido de la propuesta
La propuesta de California Privacy Rights and Enforcement Act propone introducir numerosas modificaciones el Código Civil de California (California Civil Code).
Para ello, comienza estableciendo los deberes generales de las empresas que recopilan información personal (General Duties of Businesses that Collect Personal Information), para continuar con la especificación del contenido de los nuevos derechos que reconoce a los ciudadanos:
- • Derecho a eliminar Información Personal
- • Derecho a corregir información personal inexacta
- • Derecho a saber qué información personal se está recopilando.
- • Derecho de acceso a la información personal.
- • Derecho a saber si las empresas están utilizando la información personal para un propósito político
- • Derecho a saber qué información personal se vende y a quién se vende
- • Derecho a apto-Out de Venta de Información Personal y Perfiles de Datos Sensibles
- • Derecho a no sufrir represalias por el ejercicio de estos derechos
- • Requisitos de notificación, modificación, corrección y eliminación
- • Venta de información personal y uso de información personal para requisitos de publicidad y marketing.
La propuesta incorpora también un listado de Definiciones y de supuestos en los que no procederá su aplicación, así como medidas relativas a las violaciones de la seguridad de los datos y su aplicación Administrativa.
Agencia de protección de datos de California
Finalmente, la propuesta prevé la creación de la Agencia de protección de datos de California (California Privacy Protection Agency).
Se trata de un nuevo organismo independiente, dedicado a proteger los derechos fundamentales de privacidad de las personas físicas con respecto al uso de su información personal.
Entre sus funciones destacan las de promover la concienciación y comprensión pública de los riesgos, normas, responsabilidades, salvaguardias y derechos en relación con la recogida, uso, venta y eliminación de información personal, incluyendo los derechos de los menores; proporcionar orientación a los consumidores en relación con sus derechos; Proporcionar orientación a las empresas con respecto a sus deberes y responsabilidades, incluyendo el nombramiento de un Auditor Jefe de Privacidad (Chief Privacy Auditor) para que realice auditorías de las empresas a fin de garantizar el cumplimiento de estas disposiciones; prestar asistencia técnica y asesoramiento al legislador estatal, previa solicitud, con respecto a la legislación relativa a la privacidad; vigilar los acontecimientos pertinentes relacionados con la protección de la información personal y, en particular, el desarrollo de las tecnologías de la información y las comunicaciones y las prácticas comerciales y cooperar con otras agencias con jurisdicción sobre las leyes de privacidad y con las autoridades de procesamiento de datos en California, otros estados, territorios y países para asegurar la aplicación consistente de las protecciones de privacidad.