El regulador californiano modifica y aclara las reglas de privacidad
Tabla de contenido:
Diciembre fue un mes histórico para el organismo de control de la privacidad de datos de California, ya que trasladó un conjunto de revisiones regulatorias propuestas a la etapa de comentarios públicos. Las revisiones consolidan algunas de las ideas que han convertido a California en uno de los pioneros en leyes regionales de privacidad en los últimos años. Y brindan una claridad muy necesaria para las empresas que operan en el estado.
Una breve historia de las regulaciones de privacidad de California
La historia de estos las revisiones comienza en noviembre de 2020 con la aprobación de los votantes de la Proposición 24, una iniciativa electoral que produjo la Ley de Derechos de Privacidad de California (CPRA). Esta ley modificó la Ley de Privacidad del Consumidor de California (CCPA) de 2018.
La CCPA había introducido protecciones de la privacidad del consumidor, incluido el derecho a saber qué información personal recopila una empresa sobre ellos y solicitar su eliminación, y el derecho a optar por no vender su información. La CPRA agregó más protecciones, incluido el derecho a restringir el uso de información personal y corregir registros inexactos. También amplió el mandato de “no vender” de la CCPA sobre datos de consumidores para cubrir el intercambio de datos. Finalmente, la Proposición 24 creó la Agencia de Protección de la Privacidad de California (CPPA).
Se trataba de una autoridad separada con supervisión de la administración y aplicación de la CCPA; un trabajo anteriormente manejado únicamente por la oficina del fiscal general.
En julio de 2022, la CCPA comenzó a elaborar reglas para adoptar esas regulaciones de la CPRA, armonizando la CCPA y la CPRA. Introdujo las regulaciones revisadas en noviembre. Fueron aprobadas el 29 de marzo por la Oficina de Derecho Administrativo, pero fueron inmediatamente impugnadas ante los tribunales por la Cámara de Comercio. Argumentó que se suponía que las regulaciones finales se habrían acordado antes del 1 de julio de 2022, y que la aplicación no se produciría antes de un año después de este punto, y pidió al tribunal que suspendiera las regulaciones hasta un año después de su aprobación (29 de marzo de 2024).
La CCPA no se ha quedado de brazos cruzados mientras espera que expire la orden judicial. El 1 de diciembre introdujo algunas nuevas propuestas de revisión de las regulaciones de la CCPA. Este es el conjunto de propuestas que debatió en una reunión de la junta directiva el 8 de diciembre (punto tres de la agenda) y luego pasó a su siguiente etapa cuando ingresa al proceso oficial de elaboración de reglas.
Desembalaje de las últimas revisiones propuestas
Las últimas revisiones propuestas no son en su mayoría controvertidas, explica Cobun Zweifel-Keegan, director general de la Asociación Internacional de Profesionales de la Privacidad (IAPP) en DC.
"La mayoría de estas no son salidas creativas de la agencia", le dice a ISMS.online. "Creo que su objetivo principal es aclarar y actualizar los estándares para que las cosas estén de acuerdo con los cambios realizados por la legislatura".
Se esperaba que las normas clarificadoras ayudaran a hacer cumplir tanto la CCPA como la CPRA, continúa.
"La nueva ley faculta muy explícitamente a la CPPA para aclarar ciertos estándares que no están específicamente establecidos en la propia ley", añade Zweifel-Keegan.
Odia Kagan, socia de la firma legal Fox Rothschild LLP, llama a las revisiones propuestas las “nuevas, nuevas regulaciones”. Aclaran puntos sobre los que no había un consenso común y se centran en matices en áreas como el consentimiento del consumidor.
"Hay nuevos ejemplos de lo que no constituye consentimiento", le dice a ISMS.online.
Por ejemplo, las revisiones establecen explícitamente que cerrar una ventana emergente que solicita permiso para recopilar y utilizar datos en lugar de hacer clic explícitamente en el botón "sí" no indica consentimiento. También advierte sobre técnicas engañosas como colocar temporizadores de cuenta regresiva junto a las opciones de consentimiento para asustar a los usuarios.
Hablando claro, por favor
También es notable un enfoque en un lenguaje claro. Las revisiones propuestas requieren un lenguaje sencillo que advierta a las empresas que describan las categorías de fuentes de las que se recopilan los datos, junto con los terceros con los que podrían compartirse. Como detalla la CCPA en su explicación de las revisiones propuestas, los consumidores necesitan una “comprensión significativa” de dónde las empresas obtienen sus datos personales.
Ajustes como este ayudarán a que la CCPA sea más amigable para el consumidor, explica Kagan.
“Si dices: 'recopilamos tus clasificaciones protegidas', nadie entiende qué es eso”, afirma.
Defender el derecho a suprimir
Quizás una de las revisiones propuestas más significativas afecte al derecho a eliminar información. Exige que tanto las empresas como sus proveedores y contratistas de servicios se aseguren de que la información permanezca eliminada.
"Eso es interesante, porque el material que se obtiene de los corredores de datos está ahora bajo la lupa, especialmente porque la FTC acaba de emitir dos decisiones relacionadas con los corredores de datos y la información que se obtiene de ellos", dice Kagan.
Estas decisiones, ambas emitidas en enero después de las revisiones de reglas propuestas por la CPPA, se relacionaban con datos de ubicación precisos vendidos por Modo X Social y Medios de mercado.
Mantener el ritmo de la innovación tecnológica
Hay muchas otras revisiones aclaratorias en las propuestas de la CPPA, algunas de las cuales parecen extrañamente específicas. Por ejemplo, se advierte que las empresas que recopilan datos en realidad aumentada o virtual (AR/VR) deben advertir al consumidor antes de ingresar al entorno AR/VR. Esto se reintrodujo, después de haber sido omitido anteriormente para simplificar la implementación. Sin embargo, esto no es sorprendente, ya que el papel de la agencia es en parte crear regulaciones que mantengan relevantes las leyes de privacidad en un panorama tecnológico en rápida evolución que incorpora tales innovaciones.
Esta necesidad de seguir el ritmo del desarrollo tecnológico se aplica particularmente a otro proceso de elaboración de reglas en curso centrado en la toma de decisiones automatizada, que verá un conjunto de regulaciones separadas de la CPPA.
"Se necesitan más aclaraciones en situaciones como la tecnología de toma de decisiones automatizada", dice Zweifel-Keegan. "En realidad es sólo una pequeña regla en el estatuto, pero podría convertirse en todo un conjunto de reglas de varias páginas que ayudan a explicar qué requisitos existen".
La CPPA también está trabajando en dos conjuntos más de reglas en evaluación de riesgos y ciberseguridad. Mientras impulsa las “nuevas nuevas” regulaciones de diciembre desde la etapa de escupir al territorio de elaboración de reglas oficiales. Todavía tiene mucho trabajo por hacer, y quienes hacen negocios en California deben seguir de cerca lo que hace.
¿Qué pueden hacer las empresas mientras siguen estos cambios en curso? En tiempos de incertidumbre, busque mejores prácticas bien establecidas que lo acerquen (o lleguen hasta el final) a donde necesitará estar cuando finalice el proceso de elaboración de reglas.
Estándares como ISO 27001 para la gestión de la seguridad y su extensión ISO 27701 (que sienta las bases para sistemas eficaces de gestión de la información de privacidad) son bases sólidas para el cumplimiento. Prepararán a las empresas para cumplir con los estándares emergentes para la gestión y protección de los datos de los consumidores a medida que aparezcan.
