Al igual que el RGPD, no está del todo claro qué significa cumplir con la CCPA.
La Ley de Privacidad del Consumidor de California entró en vigor el 1 de enero, y no parece que alguien, ni siquiera el estado de California, esté totalmente listo.
“Si pensabas que el GDPR estaba lleno de baches, el CCPA será una verdadera montaña rusa”, le dice Reece Hirsch a The Verge. Hirsch es codirector de la práctica de privacidad y seguridad cibernética de Morgan Lewis y ha estado asesorando a los clientes sobre cómo adaptarse a la nueva ley. “Este es un conjunto complejo de nuevas reglas, que todavía son un trabajo en progreso”.
El quid de la CCPA es este: si su empresa compra o vende datos de al menos 50,000 residentes de California cada año, tiene que revelar a esos residentes lo que está haciendo con los datos y pueden solicitarle que no los venda. Los consumidores también pueden solicitar a las empresas vinculadas por la CCPA que eliminen todos sus datos personales. Y como informó The Wall Street Journal, los sitios web con seguimiento de terceros deben agregar un botón “No vender mi información personal” que, si se hace clic, prohíbe que el sitio envíe datos sobre el cliente a terceros, incluidos los anunciantes.
A pesar de que el año pasado se retiró antes de la fecha límite, la adopción oficial de GDPR fue tan fácil como era de esperar. Facebook y Google ya enfrentan demandas de miles de millones de dólares por presuntas violaciones del GDPR, pero pasarán años antes de que se cierren esas demandas. Hasta ese momento, las pequeñas empresas solo tendrán un sentido confuso de cómo podrían ser vulnerables a la regla, y el cumplimiento sigue siendo un enigma.
Pero es probable que el CCPA sea un desafío de cumplimiento aún mayor. Es la primera legislación general en los Estados Unidos que brinda a los consumidores el control sobre cómo se usa su información personal en línea, y puede indicar cómo otros estados buscarán proteger la privacidad de sus residentes, dice Hirsch.
Está aconsejando a los clientes no solo actualizar sus políticas de privacidad, sino también crear procesos para retener copias de cualquier información personal recopilada sobre los consumidores. Hirsch también está asesorando a las empresas para determinar quién responderá y manejará las solicitudes de información de los consumidores y la eliminación de esa información.
El fiscal general de California, Xavier Becerra, dijo a principios de diciembre que, aunque la aplicación generalizada del CCPA no es probable hasta julio de 2020, las compañías no deberían ver los primeros seis meses del año como un período de gracia. “Vamos a tratar de ayudar a la gente a comprender nuestra interpretación de la ley”, dijo Becerra, según lo citado por el San Francisco Chronicle. “Y una vez que hayamos hecho esas cosas, nuestro trabajo es asegurarnos de que se cumpla, para que podamos cumplir”.
James Steyer, CEO de la organización de defensa de la privacidad de los niños Common Sense, dice que cree que la mayoría de las empresas están haciendo esfuerzos de buena fe para cumplir con el CCPA. Microsoft anunció el mes pasado que planea implementar las disposiciones del CCPA no solo en California, sino también para todos sus clientes.
Facebook parece estar adoptando un enfoque diferente hacia CCPA, enfatizando que “no vendemos los datos de las personas”, según una publicación de blog de diciembre. Facebook ya tiene herramientas para permitir a los usuarios acceder y eliminar su información, donde sea que vivan. El servicio tiene una página CCPA donde los residentes de California pueden solicitar información sobre cualquiera de sus productos: WhatsApp, Instagram, Portal, Messenger Kids y Facebook. Como resultado, Facebook se ve a sí mismo cumpliendo en gran medida con CCPA.
Steyer está en desacuerdo con la postura de Facebook, ya que, como él dice, el modelo comercial de la compañía se basa en recopilar y monetizar los datos de sus usuarios. California debería estar pendiente de cómo las empresas recopilan y usan los datos de sus clientes, no solo si venden esos datos, agrega.
“Como desafortunadamente se ha convertido en una costumbre, Facebook es el mayor valor atípico”, dice Steyer. “Becerra tendrá que concentrarse en hacer que las compañías como Facebook rindan cuentas”.
Facebook declinó hacer más comentarios.
Hirsch dice que no está del todo claro qué está usando California como su definición de “venta” de información del consumidor. Otro problema: ¿cómo se asegurará una empresa de eliminar los datos correctos del cliente sin recopilar más información para verificarlos?
“La definición amplia de” venta “es un punto difícil para muchas empresas porque potencialmente incluye compartir información para publicidad en línea”, dice Hirsch. Los acuerdos de proveedores de servicios son otra área en la que las empresas tendrán que observar de cerca sus prácticas; un acuerdo con un subcontratista o proveedor debe detallar cuidadosamente cómo se usa o comparte cualquier información personal, agregó Hirsch.
La mayoría de las grandes compañías tecnológicas, consideran que el CCPA está en sus intereses a largo plazo porque creará más confianza entre los consumidores, dice Steyer. Pero con su gran cantidad de problemas de privacidad en los últimos años, es desconcertante por qué Facebook no aprovecharía la oportunidad de mejorar su historial de privacidad.
“Este es un momento histórico, es la primera gran legislación de privacidad integral aprobada en los Estados Unidos desde que Zuckerberg estaba en el jardín de infantes”, dice Steyer. “Pero Facebook está tratando de encontrar formas de evadir la ley”.
Nota original de The Verge
Autor: Kim Lyons
Presidenta, fundadora de LIA - Lawyers in actualization.
Abogada especializada en Propiedad Intelectual y cumplimiento legal.