la guerra de los datos
Con una nueva legislación que busca proteger la privacidad de los consumidores, el estado de California está cambiando la manera de hacer negocios en Internet
LLa historia no se repite pero a veces rima. Al igual que los esfuerzos por proteger la privacidad de los ciudadanos de la red. La Unión Europea lideró al mundo con su normativa general de protección de datos (GDPR, por las siglas en inglés de General Data Protection Regulation), que entró en vigor en mayo de 2018. Esa ley sacudió a los gigantes de internet y a las firmas globales de publicidad que hasta entonces habían usado –y a veces abusado- los datos de los consumidores con poca supervisión. El 11 de diciembre pasado el gobierno de la India introdujo una ley que obliga a las firmas a manejar datos sólo con el consentimiento de los consumidores y a dar amplio acceso a los mismos a las autoridades. El mismo día Scott Morrison, primer ministro de Australia, prometió una revisión de las leyes de privacidad y dijo que las autoridades que regulan la competencia controlarán cómo se hace publicidad en plataformas digitales. Pero la legislación más importante que rima con GDPR en este momento es la ley de privacidad de los consumidores de California (CCPA es la sigla en inglés) que entrará en vigor el 1° enero. Para las empresas online es un verdadero shock.
La ley de California copia algunas de las cláusulas de la GDPR. Da a los consumidores el derecho de saber qué información online se recolecta acerca de ellos y cómo se usa, Les permite exigir que sus datos sean destruidos y enjuiciar a las compañías por violaciones de sus datos. En algunos sentidos la CCPA es más laxa que su predecesora europea. No insiste por ejemplo en que las firmas tengan una “base legal” para recolectar y usar datos personales ni restringe la transferencia internacional de datos. Tampoco llega al punto de exigir el nombramiento de funcionarios corporativos de protección de datos ni evaluación de riesgos en cuanto a protección de datos en proyectos. Y mientras la GDPR permite a los individuos exigir que la información privada acerca de ellos sea eliminada de la red bajo ciertas circunstancias, la primera enmienda de la Constitución significa que este “derecho al olvido” no exista en los Estados Unidos.
Pero en otros sentidos California va más allá que la Unión Europea. La CCPA adopta una definición más amplia de la información personal (que se extiende a los cookies de internet que identifican a usuarios en sitios de la red) y prohíbe explícitamente la discriminación (ofreciendo descuentos a aquellos que dan acceso a las firmas a sus datos). Las compañías deben permitir a los californianos optar por no vender sus datos personales con un vínculo claro de “no vender” en su página de inicio, en vez de con un proceso más engorroso como en el caso de la GDPR. Michelle Richardson del Centro para la Democracia y la Tecnología, un grupo de defensa de la privacidad que es financiado en parte por grandes compañías tecnológicas, dice que la CCPA es “pionera”.
La ley de California se aplicará a firmas con ingresos de US$25 millones o más que tengan negocios en el estado o procesen datos de sus residentes, aunque no tengan sede allí. También cubre a cualquier ente que genere ganancias en cualquier parte que compré, comparta o venda datos de más de 50.000 clientes, hogares o dispositivos de California al año. Quienes violen la ley enfrentan multas de hasta US$7500 por cada violación, comparado con 4% de los ingresos anuales globales o US$22 millones, lo que sea mayor, en el caso de la GDPR. Pero el techo relativamente minúsculo de California puede acumulares rápidamente en el caso de firmas con miles de usuarios.
Los efectos de la GDPR sugieren que los efectos de la CCPA serán de gran alcance. Se han registrado alrededor de 250.000 quejas bajo las normas de la Unión Europea y algunas penas se acercan a los €100 millones. Si quebrar las normas puede resultar caro, respetarlas también. La asociación Internacional de Profesionales de la Privacidad, un ente del sector y oficina contable, calcula que cumplir con la GDPR cuesta a la firma promedio US$2 millones. Las firmas tecnológicas gastan más de US$3 millones; las firmas financieras, más de US$6 millones. De acuerdo a una estimación, el costo total para todas las firmas estadounidenses con más de 500 empleados podría alcanzar los US$150.000 millones.
El cumplimiento inicial con la CCPA, por su parte, puede costar a las alrededor de 500.000 firmas estadounidenses afectadas US$55.000 millones, según un estudio encargado por el fiscal general de California. Estas cifras deben considerarse una aproximación. Por empezar las firmas globales que ya cumplen con la GDPR tienen ventaja, aunque las diferencias entre las dos leyes signifiquen que cumplir con la de California no será ni remotamente automático. Se prevé que las grandes firmas que ya se rigen por la GDPR tendrán que gastar cada una otros US$2 millones. Para los gigantes tecnológicos eso parece monedas. Microsoft y Apple dicen que no sólo están listas para la CCPA, sino que piensan implementarla en todo Estados Unidos.
Para las legiones de vendedores de chucherías online, creadores de
apps u otras firmas presentes en la red en los Estados Unidos, la ley de California será onerosa. Pueden ignorar la normativa europea porque la mayoría no tiene negocios en la UE, pero no pueden evitar los mayores mercados internos de Estados Unidos. Un nuevo estudio de la Cámara de Comercio de EE.UU., un lobby, sostiene que sólo el 12% de las pequeñas empresas norteamericanas sabe de la ley, no se hable ya de estar preparados para ella.
El impacto de la CCPA se siente mucho más allá de las salas de directorios. Las grandes compañías de tecnología están presionando a legisladores en Washington para que haya una ley federal en la materia. “Realmente estamos en favor de una ley federal de privacidad ómnibus”, dice un encargado de privacidad de datos de una gran compañía de tecnología estadounidense. Facebook y Google dicen que ellas también la quieren. La Cámara de Comercio, que por lo general se opone a toda normativa, ahora también está a favor.
Una explicación del repentino entusiasmo de las firmas tecnológicas por el resguardo de la información de los usuarios es su deseo razonable de evitar un enredo balcanizado de leyes estaduales contradictorias. Illinois, Nueva York y Washington tienen legislación diferente en preparación. Muchos otros estados están analizando el tema.
El salvaje este
Las compañías tecnológicas pueden tener otro motivo para respaldar normas federales. Debido a que mucha actividad online cruza fronteras estaduales, esa actividad cae dentro de la jurisdicción federal. Por tanto una ley de datos nacional estaría por encima de la de California, a menos que explícitamente se establezca que las reglas federales son el piso que las normas estaduales podrían elevar si quisieran.
Hay una propuesta demócrata en el Senado norteamericano en este sentido. Un proyecto republicano rival impondría normas más amigables para las empresas como el techo, anulando en la práctica los efectos de la CCPA. Es obvio cuál de estos proyectos prefieren las empresas estadounidenses. No es probable que ninguna de las dos se apruebe antes de las elecciones de noviembre. Hasta entonces las compañías tendrán que atenerse a lo que digan los sheriffs californianos de los datos. Después de eso habrá que esperar un duelo a balazos.
La nueva ley de California les da a los usuarios la posibilidad de exigir que sus datos sean destruidos y deja abierta la puerta para enjuiciar a las empresas por el uso de información