Ambigüedad en ley de privacidad de California dificulta el cumplimiento de las empresas, dice experto

Por Catherine Wen
13 de Enero de 2020 Actualizado: 13 de Enero de 2020

Una ley de privacidad del consumidor de gran alcance entró en vigor en 2020 en el estado de California, pero parece que muchas empresas aún no están listas para cumplirla.

La Ley de Privacidad del Consumidor de California (CCPA por sus siglas en inglés) es una de las regulaciones más significativas que supervisan las prácticas de recolección de datos de las empresas estadounidenses. Da a los consumidores más control sobre sus datos personales, les permite preguntar a las empresas qué datos tienen sobre ellos y solicitar que las empresas los eliminen o que dejen de vender la información.

Aunque es una ley del estado de California, “los recursos necesarios para verificar si alguien es realmente californiano o no pueden hacer que no valga la pena que las empresas hagan eso. Y pueden terminar aplicando los derechos de manera mucho más amplia de lo que realmente se aplican”, dijo Laura Jehl, Directora Global de Privacidad y Ciberseguridad de la firma de abogados McDermott Will & Emery.

Algunos minoristas, incluyendo Home Depot, permitirán a los compradores no solo en California, sino en todo el país, acceder a dicha información en línea.

Según una hoja informativa (pdf) de la oficina del fiscal general del estado de California, la nueva ley se aplica a las empresas con ingresos anuales de más de 25 millones de dólares; a las que compran, reciben o venden la información personal de más de 50,000 personas; y a las que obtienen el 50 por ciento o más de sus ingresos anuales de la venta de la información personal de los consumidores.

Además de a los minoristas, la ley afecta a una amplia gama de empresas, incluyendo plataformas de redes sociales como Facebook y Google, anunciantes, desarrolladores de aplicaciones, proveedores de servicios móviles y servicios de televisión en flujo, y es probable que revise la forma en que las empresas se benefician del uso de la información personal.

Los consumidores pueden ver ahora un enlace de “No vender mi información personal” en la parte inferior de los sitios web de algunos minoristas como Target, Walmart y Home Depot. Pero según dos expertos en privacidad que han estado ayudando a las empresas a prepararse para el cumplimiento, no parece que todas las empresas estén completamente preparadas.

“Muchas no lo están”, dijo Jehl, “Se puede culpar de algo de eso al tipo de despliegue de último minuto de las regulaciones y las enmiendas a la ley. Muchas empresas estaban esperando a ver qué iba a pasar”.

La CCPA fue firmada como ley el 28 de junio de 2018, y las enmiendas sustantivas adicionales fueron firmadas como ley el 11 de octubre de 2019. La fecha de entrada en vigor fue solo dos meses después, el 1 de enero de 2020.

La ley sigue la controvertida Regulación General de Protección de Datos de Europa, que establece un nuevo estándar para la forma en que las empresas recogen, almacenan y utilizan los datos personales. La ley europea dio a las empresas años para cumplirla, mientras que la CCPA solo les ha dado unos pocos meses.

Además del plazo apresurado, las ambigüedades con la propia ley también dificultan su cumplimiento. Por ejemplo, la definición de “venta de información”. “Esta es un área realmente difícil para muchas empresas de marketing”, dijo Debbie Zaller, líder de la práctica de privacidad en Schellman & Company.

“Realmente están tratando de averiguar si esta ley se aplica a lo que hacemos. ¿La venta de información significa que, si simplemente transferimos información a otra organización, eso cuenta como una venta? Creo que la gente está tratando de averiguar cómo se aplica a su negocio y cómo afecta a su negocio”, dijo Zaller.

La vaga definición también permite a algunas empresas rechazar la nueva regulación. Facebook ha dicho que está exento de la CCPA, ya que no vende directamente los datos, sino que vende anuncios basados en la información que recopila.

La ley no tendrá poder de aplicación hasta el 1 de julio. De acuerdo con Jehl, de ahora en adelante, se espera “más confusión, un desarrollo continuo de la ley y muchos desafíos legales”.

Una evaluación de impacto económico preparada para la oficina del fiscal general de California por una firma de investigación independiente encontró que el cumplimiento de las regulaciones le costará a los negocios entre USD 467 millones y 16,500 millones entre 2020 y 2030. La industria estima que los costos iniciales de cumplimiento son de más de 50,000 millones de dólares.

Varios otros estados están considerando sus propias leyes de privacidad. El estado de Nueva York propuso una ley de privacidad de datos, pero no fue aprobada. Algunos otros estados, incluyendo Massachusetts y Connecticut, están considerando sus propias leyes de privacidad.

Los legisladores federales están considerando a California como una guía al considerar una ley federal de privacidad. Sin embargo, los legisladores no están de acuerdo en varios temas, incluyendo la anticipación de las leyes estatales.

Reuters contribuyó al informe.

A continuación

¿Huawei espía a EE.UU. desde Latinoamérica?

TE RECOMENDAMOS