Lo que necesita saber sobre la nueva ley de privacidad de datos de California

pm Images/Getty Images

A finales del mes pasado, California aprobó una barrida ley de privacidad del consumidor eso podría forzar cambios significativos en las empresas que comercian con datos personales, y especialmente en las que operan en el espacio digital. La aprobación de la ley se produce inmediatamente después de unos días de intensas negociaciones entre defensores de la privacidad, empresas emergentes de tecnología, proveedores de redes, empresas de Internet de Silicon Valley y otros. Esas discusiones han dado lugar a lo que muchos están describiendo como una política histórica que constituye el régimen de protección de datos más estricto de los Estados Unidos.

Gran parte del impulso político que impulsó la aprobación de la ley se debió a algunos importantes escándalos de privacidad que han salido a la luz en los últimos meses, incluido el Incidente de Cambridge Analytica que incluya datos de usuario de Facebook. Esta y otras noticias generaron el apoyo público a una iniciativa de votación sobre la privacidad que habría instituido un régimen de protección de datos aún más estricto para las empresas que comercian con datos de consumidores si los residentes del estado hubieran votado a favor de su aprobación en noviembre. Pero después negociación intensa, especialmente de las principales empresas de Internet y proveedores de servicios de Internet, los partidarios de la iniciativa electoral acordaron abandonar la iniciativa y, en cambio, apoyar la aprobación de la ley.

La nueva ley, la Ley de Privacidad del Consumidor de California, A.B. 375 — ofrece a los residentes de California un gama de nuevos derechos, empezando por el derecho a recibir información sobre los tipos de datos personales que las empresas han recopilado y por qué se recopilaron. Entre otras protecciones novedosas, la ley estipula que los consumidores tienen derecho a solicitar la eliminación de la información personal, a excluirse de la venta de información personal y a acceder a la información personal en un «formato de fácil uso» que permita su transferencia a terceros sin obstáculos.

En particular, la ley establece una definición amplia de «información personal», dibujar en categorías de datos incluidos los identificadores personales del consumidor, la geolocalización, los datos biométricos, el historial de navegación por Internet, los datos psicométricos y las conclusiones que una empresa pueda hacer sobre el consumidor. El fiscal general del estado debe hacer cumplir las protecciones de estos datos, aunque los consumidores mantendrán un derecho privado de acción en caso de que las empresas no mantengan prácticas de seguridad razonables, lo que dé lugar a un acceso no autorizado a los datos personales. (La protección contra la violación de datos se aplica a un conjunto de datos personales que es más limitado que el protegido en las protecciones de privacidad más generales).

Quizás el tema principal que las firmas se enfrentan a es que los requisitos de la ley podrían amenazar los modelos de negocio establecidos en todo el sector digital. Por ejemplo, las empresas que generan ingresos con la publicidad segmentada en plataformas de Internet (como Facebook, Twitter y Google) deben, tal como está redactada la ley actualmente, permitir a los residentes de California eliminar sus datos o llevarlos consigo a proveedores de servicios alternativos. Esta restricción podría extenderse a los proveedores de servicios de Internet, como AT&T y Verizon, que recopilan datos de actividad de banda ancha (datos de navegación web) y podrían intentar utilizarlos para generar perfiles de comportamiento que permitan la publicidad digital. Estas medidas podrían reducir significativamente los beneficios de los que disfrutan actualmente estas empresas o forzar ajustes en sus estrategias de crecimiento de los ingresos. También podrían afectar aún más a las empresas que anuncien en las plataformas digitales, ya que el servicio que compran (publicidad altamente segmentada) podría resultar menos preciso como resultado de las nuevas protecciones que se ofrecen a los consumidores individuales.

Algunas firmas podrían perder aún más. Los corredores de datos como Acxiom, Epsilon, Experian y Oracle, por ejemplo, generan beneficios recopilando cantidades de datos sobre consumidores individuales y vendiéndolos a terceros, ya sean redes de publicidad, vendedores, minoristas o cualquier otro tipo de empresa interesada. Estos son precisamente los tipos de prácticas que se ven directamente amenazados por el derecho del consumidor a eliminar y a optar por no vender los datos.

Si bien la ley, que entrará en vigor a principios de 2020, técnicamente solo se aplica a los residentes de California, lo más probable es que implicaciones mucho más amplias. La mayoría de las principales empresas que se ocupan de los datos de los consumidores, desde minoristas hasta proveedores de redes móviles y empresas de Internet, tienen algunos clientes californianos. Eso dejará a esas empresas con dos opciones principales: reformar sus infraestructuras globales de protección de datos y derechos de datos para cumplir con la ley de California, o instituir un régimen de datos heterogéneo en el que los californianos reciban un trato y todos los demás de otra. Esa última opción puede resultar más cara para las empresas y podría disgustar a los clientes no californianos si el proveedor de servicios les diera menos opciones de privacidad de datos. De hecho, preguntas similares sobre los derechos de los estadounidenses a los datos surgió durante el testimonio de Mark Zuckerberg en el Congreso con respecto al cumplimiento por parte de Facebook de la nueva normativa europea.

Lo que es más importante, la legislatura ha dejado abierta la puerta a las enmiendas a la nueva ley. También podemos esperar que el fiscal general del estado trabaje con las partes interesadas públicas para desarrollar una guía de cumplimiento más específica para el sector en los próximos meses. Antes de que se aplique la ley, es probable que veamos más debates entre los líderes del sector, los defensores de los consumidores y todos los demás, todos los cuales querrán afectar a la ley y su aplicación en su propio beneficio.