Togas.biz

Tal y como señalamos en anteriores entradas de este Blog, California ha sido pionera en la aprobación de una ley de privacidad (en adelante, la “Ley de Privacidad del Consumidor de California” o “CCPA”, por sus siglas en inglés) que otorga un cierto grado de control a los consumidores sobre el uso que las empresas hacen de sus datos personales en línea, plasmando de algún modo las lecciones aprendidas de sus compañeros europeos.

Entre otros aspectos, la CCPA exige que el Fiscal General recabe una amplia participación pública en el marco de la adopción de los reglamentos de desarrollo de la CCPA, tratando de garantizar la adecuada consecución de sus objetivos.

El objetivo de tales reglamentos es el establecimiento de unos procedimientos que faciliten el ejercicio de los nuevos derechos que la CCPA otorga a los consumidores, así como proporcionar orientación a las empresas para que cumplan con las obligaciones que les impone.

Algunos de dichos reglamentos se hallan todavía en fase de elaboración. El pasado 7 de febrero de 2020, la oficina del Fiscal General publicó una versión modificada de una propuesta de reglamento en la que está trabajando (el “Reglamento”). El texto introduce algunas enmiendas importantes a la CCPA, que reflejan la visión de los agentes y ciudadanos implicados, recogidas durante un proceso inicial de consulta pública.

Entre otras, resulta interesante resaltar las siguientes modificaciones introducidas por dicho Reglamento:

  • En primer lugar, el Reglamento delimita de forma más precisa lo que cabe entender por “información personal”. En particular, excluye de tal definición aquella información recopilada por una empresa que no permita la identificación razonable de un consumidor ( i.e. información personal obtenida a través de un sitio web –una dirección IP– no vinculada con ningún consumidor u hogar en particular). A diferencia de ello, el Reglamento General de Protección de Datos europeo (“RGPD”) es más estricto y sí consideraría como datos personales la información sobre ubicación, los identificadores digitales u otros factores potencial e indirectamente relacionados con una persona física. En este sentido, su Considerando 26 aclara que la probabilidad razonable de identificación de una persona se mide con factores objetivos como los medios, el coste y el tiempo necesarios para su identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos.
  • Además, el Reglamento obliga a las empresas a publicar un aviso o notificación en tiempo real (“Just–in–Time notice”) –por ejemplo, a través de una ventana emergente– informando a los consumidores sobre la recogida de datos inesperados o, en otras palabras, sobre la existencia de una nueva finalidad para el tratamiento de sus datos personales. Dicho aviso deberá incluir, pues, las nuevas categorías de datos que procedan a recogerse, así como un enlace a un aviso completo informando detalladamente sobre dicho extremo.
  • Mientras la redacción original de la CCPA exigía –sin ulteriores especificaciones– que las políticas de privacidad y los avisos legales fuesen “razonablemente accesibles”, el Reglamento aclara qué debe entenderse por “accesibilidad razonable”. Según dispone, dicha expresión hace referencia a los estándares de la industria generalmente reconocidos (tales como las conocidas “Web Content Accessibility Guidelines” o los estándares de accesibilidad a los sitios webs establecidos en la Ley de Estadounidenses con Discapacidades).
  • Las modificaciones introducidas también disminuyen las obligaciones de las empresas intermediarias o “corredores de datos”, esto es, aquellas empresas que venden información personal recogida indirectamente (i.e. obtenida inicialmente por otra empresa). Si bien la redacción original de la CCPA exigía a estas empresas que garantizasen que la empresa que recoge originalmente la información hubiese informado debidamente a los consumidores en el momento de su recogida, el Reglamento les exime de tal obligación en tanto en cuanto se registren como “intermediarios de datos” e incluyan un enlace a su política de privacidad, ésta con instrucciones para que los consumidores ejerzan, si lo desean, su derecho de exclusión voluntaria.
  • Asimismo, se incluyen en este sentido ejemplos de pop-ups de exclusión voluntaria (“opt-out”) que cumplen con los requisitos de la normativa.

Según las fuentes consultadas, otras modificaciones adicionales buscan limitar y/o suavizar las demás obligaciones que la CCPA impuso inicialmente a las empresas que tratan y venden datos de los consumidores. Sin embargo, no parecen aportar claridad adicional sobre lo que cabe entender como “venta” o como “seguridad razonable” de los datos.

A la luz de lo señalado, y a la espera de ulteriores reglamentos de desarrollo que aporten –idealmente– un poco más de luz sobre los aspectos señalados, la Oficina del Fiscal General ha iniciado un nuevo período de consulta pública que permanecerá abierto hasta el día 24 de este mes, tras el cual espera publicar la versión final del Reglamento entre los meses de abril y mayo del presente año 2020.

Con todo, parece que, además de a Nueva York, los efectos de la CCPA y, en cierto modo, del RGPD, se están extendiendo a otros estados americanos, con propuestas de iniciativas similares sobre privacidad en Mississippi, Hawaii, Maryland y Massachusetts.

Ana Sánchez