Aunque pudiera parecer una locura hace unos años, a finales de 2019 podemos decir que en Estados Unidos están empezando a tomarse en serio la privacidad y la protección de la información personal de sus ciudadanos.
La creación de la certificación Privacy Shield y las numerosas muestras públicas de avance (como aquella en la que hicieron declarar a Mark Zuckerberg en el Congreso) hacían pensar que verdaderamente el tema de la protección de datos empezaba a ser tomado como un problema importante a resolver en sus agendas legislativas.
A día de hoy, y con el California Consumer Privacy Act a escasos días de entrar en vigor de manera obligatoria, podemos decir que esa tendencia se ha confirmado, al menos, en los Estados de mayor avance tecnológico y empresarial.
El California Consumer Privacy Act, o CCPA para abreviar, es una norma dictada por el Estado de California en la que se obliga de las empresas a establecer una serie de mecanismos que garanticen no sólo la seguridad de los datos, sino también la disponibilidad y capacidad de los ciudadanos de decidir sobre su propia información personal.
¿Cómo van a favorecer la protección de datos?
Empresas obligadas
Obviamente, no todo es perfecto. Y aunque sí que se trata de un avance que emula en muchos aspectos a las obligaciones que en Europa se han fijado para todas las empresas que manejan datos personales, esta norma va dirigida a las empresas de gran tamaño, que son las que mayores riesgos generan y las que más pueden sacar con estas líneas blandas en la protección de datos. Esta norma afectará a aquellas empresas que cumplan alguno de los siguientes criterios
- Tener una facturación de más de 25 millones de dólares al año.
- Poseer información personal de más de 50.000 personas o dispositivos.
- Que más del 50% de la facturación anual de la empresa provenga de la
- venta de información personal.
Medidas a implementar
Son numerosas las medidas que deben implementarse. Las más importantes son:
a) Obtener el consentimiento específico de los padres o tutores de usuarios
menores de 13 años para la venta de los datos de tal usuario.
b) Establecer un link o formulario específico en la página web principal de la empresa para que el usuario comunique que no quiere que se vendan sus datos personales. Es el famoso “Do not sell my personal information” link.
c) Fijar y hacer accesibles a los usuarios mecanismos para ejercer derechos sobre la información personal. Al menos, se debe establecer un teléfono gratuito de contacto y un apartado en el sitio web de la empresa.
d) Esperar, un mínimo de 12 meses, para realizar de nuevo la solicitud de
aceptación de venta de los datos personales de los usuarios.
e) Desarrollar mecanismos de protección y control de la información personal, con fines de evitar fugas, robos o accesos no autorizados.
Sanciones
El apartado de las sanciones es, quizás, el más interesante de todos, ya que utiliza un modelo completamente distinto al que se aplica en Europa tras el GDPR. Son dos las sanciones económicas principales:
- Pago de entre 100 y 750 $ a cada usuario o consumidor por cada incidente de seguridad o privacidad de sus datos, o por los daños reales causados, aplicándose siempre la cuantía mayor.
- Sanción de 7500$ por cada violación intencional de la norma o de 2500$ por cada violación no intencional.
- En este sentido, se tendrán en especial consideración, al igual que en el GDPR, la proactividad en cuanto a las medidas técnicas y organizativas que se hayan puesto en marcha para la prevención de ese tipo de incidentes.
Concluyendo, el California Consumer Privacy Act es, sin duda, un acercamiento real y tangible a la protección de la privacidad en Estados Unidos, incluyendo un sistema de medidas similares a las desarrolladas por el GDPR en Europa, que buscan el empoderamiento del ciudadano con respecto al uso que las organizaciones hacen de su información personal.
Aspectos como el “Do not sell my personal information” link o el sistema de sanciones son novedosos y, aunque con sus problemas prácticos, amplían las posibilidades normativas y generan un siempre necesario discurso acerca de su idoneidad.