La creciente oferta de servicios en línea permite a los usuarios ingresar sus datos personales en internet, aunque algunas veces no hay conocimiento de qué tanto estos datos están siendo expuestos al público. Esto exige un mayor conocimiento de cuales leyes existen y cómo están protegiendo estos datos. La CCPA es un claro ejemplo, al saber qué información personal es recolectada, de dónde es recolectada, su propósito, así como a quienes se le da acceso a su información personal, los usuarios pueden tener una mayor confianza al compartir información personal e interactuar más seguramente con los servicios digitales. Por esto, es importante exponer la nueva ley de protección de datos de California, pues aplica tanto a consumidores locales como mundiales. La California Consumer Privacy Act fue redactada en la segunda mitad de la década de 2010, y surgió como resultado de la preocupación de los consumidores californianos frente a qué tanto estaban siendo protegidos sus derechos por parte de las grandes empresas tecnológicas. Esta ley entró en vigor en enero de 2020, y debido a la cobertura mundial de los servicios digitales generados desde este estado, resulta interesante conocer cómo estas empresas recopilan y procesan los datos de sus clientes alrededor del mundo. En este documento abordamos la CCPA desde su creación, la manera en que algunas empresas la apropian y cómo impacta en los usuarios de países en todo el mundo.
La ley californiana de protección de datos, la CCPA, salió a la luz el 24 de septiembre de 2018, y es el resultado de la lucha de intereses entre consumidores y grandes compañías de tecnología de la información. En la década del 2000, empresas como Google o Facebook recolectaban grandes cantidades de datos de los usuarios de internet, y los analizaban para optimizar sus algoritmos de búsqueda o los comercializaban para que empresas perfilaran a los usuarios y establecieran sus estrategias de mercadeo. El análisis de datos que producían las compañías pasó desapercibido y no fue cuestionado a lo largo de la década en gran parte porque los usuarios no conocían los efectos de esta situación ni las grandes cantidades de datos que estaban siendo recopilados y comercializados.
Edward Snowden, en el 2012, reveló cómo la National Security Agency (NSA) recolectaba ríos de información de los usuarios de internet, en la forma de emails, fotos y conversaciones de chats, provenientes de las grandes compañías de internet, entre las cuales estaban Google, Facebook, Yahoo y Microsoft [BUKATY2019]. Esto dio lugar para que activistas tomaran cartas en el asunto, y en especial Alastair Mactaggart, un agente de finca raíz en California, se opusiera a las reglas de juego presentes e iniciara una campaña de activismo frente a la utilización indebida de la información personal de los usuarios. Descubrió que las reglas las ponían las empresas mismas, con políticas de privacidad difíciles de entender y que tal vez nadie leía. Mactaggart contrató a un grupo de consultores para publicar una iniciativa de ley que incluía derechos para los consumidores como acceso, eliminación, y exigir que la información no fuese vendida. También incluía la posibilidad de demanda por parte de los usuarios cuyos derechos fuesen violados.
Sin embargo, las compañías de tecnología no estaban de acuerdo con que sus ingresos por la venta de información, que no habían sido regulados aún, se viesen limitados. También la puesta en marcha de derechos para los consumidores presentaría la posibilidad de un aumento significativo en el número de demandas, lo cual posiblemente incitaría a las empresas a migrar de California o a aumentar el precio de sus servicios. Por estos motivos la iniciativa de Mactaggart tuvo la oposición de las grandes compañías, y no tuvo la suficiente fuerza para ser aprobada por el congreso.
Cambridge Analytica fue el punto de quiebre de esta situación en 2018. Facebook publicó modestamente que iba a suspender su contrato con esta compañía. Pero después se destapó a la luz pública que Cambridge Analytica había obtenido los datos de 50 millones de usuarios para perfilar publicidad política, lo cual entró en choque con las leyes electorales estadounidenses. Esto creó un clima para que la iniciativa de Mactaggart pudiese ser apoyada por los constituyentes del Estado de California, y no fuera fuertemente opuesta por las compañías tecnológicas del Silicon Valley.
En un principio se proyectó la Assembly Bill 375, que incluía derechos para los consumidores y obligaciones para las empresas. Lo más notable fue que este proyecto de ley desaprobó la iniciativa de Mactaggart de permitir a los consumidores demandar a las compañías, dando este derecho únicamente al fiscal general de California.
Después el senado publicó la Senate Bill 1121, que es la actual ley definitiva, con correcciones a la AB-375 en cuanto a la definición de información personal, y en cuanto a otros temas como la definición de penalidades y la posibilidad de demanda.
En la siguiente sección se muestran los elementos centrales de la ley, que son los derechos de los consumidores y las obligaciones de las empresas respecto a estos derechos.
Derechos y obligaciones
La CCPA establece requisitos para los negocios, los cuales en conjunto definen el impacto operacional de la ley. Estos requisitos demandan de los negocios esquemas organizativos que permitan garantizar y cumplir con los derechos de los consumidores, de modo que exista claridad para el usuario frente a cuáles son sus derechos, y exista claridad frente a cómo puede exigir que se cumplan.
Hay tres derechos: el derecho al acceso, el derecho a la eliminación y el derecho a que la información no sea vendida.
1. Derecho al acceso
En esencia, este derecho es la obligación de una empresa a entregar la información relacionada al tratamiento – qué se recolecta, de dónde se recolecta, el propósito de la recolección – entre otros.
Este derecho está presente en varios lugares de la ley [BUKATY2019] y está resumido en la sección 100: “El consumidor debe tener el derecho a requerir que el negocio que recolecte la información personal de los consumidores informe a ese consumidor las categorías y las piezas específicas de información personal que el negocio ha recolectado.” [Senate Bill No. 1121. 2018]
En la sección 110 se explica más detalladamente:
“Un consumidor debe tener el derecho a solicitar que un negocio que recolecte información personal entregue la siguiente información:
– Las categorías de información personal que ha recolectado acerca de un consumidor
– Las categorías de las fuentes de dónde la información personal fue recolectada
– El propósito comercial por el cual la información va a ser recolectada o vendida
– Las categorías de los terceros con quienes el negocio comparte la información personal
– Las piezas específicas de información personal que ha recolectado acerca del consumidor” [Senate Bill No. 1121. 2018]”
La anterior sección afecta a aquellos negocios que recolecten información personal de usuarios. Para los negocios que venden información de los consumidores a terceros, la sección 115 exige garantizar derechos similares a la sección anterior.
Según la sección 100, una obligación para todos los negocios que obtengan información personal es que deben informar a los consumidores, en el momento de la recolección, las categorías de información personal que va a ser recolectada y los propósitos para los cuales va a ser recolectada. En este sentido, se hace necesaria una política de privacidad.
En la sección 130 se exige a las empresas una política de privacidad que incluya lo siguiente:
– Una descripción de los derechos de los consumidores, en específico el derecho al acceso para compañías que recolectan y venden información, y también el derecho a no ser discriminado (sección 125) en caso de que el usuario exija sus derechos
– Una lista de las categorías de la información y el propósito para el cual va a ser utilizada
– Una lista de las categorías de la información que puede ser vendida para un propósito comercial.
2. Derecho a la eliminación
Este es el derecho a exigir que un negocio elimine cualquier información acerca del consumidor que el negocio haya recolectado.
La sección 105 lo explica así:
“(a) Un consumidor debe tener el derecho de solicitar que un negocio elimine cualquier información personal que el negocio ha recolectado de él.
(b) Un negocio que recolecte información personal acerca del consumidor debe informar, de acuerdo a la sección 130, acerca del derecho de éste de solicitar una eliminación de la información personal.” [Senate Bill No. 1121. 2018]
También hay excepciones a este derecho: por ejemplo, los negocios no están obligados a eliminar los datos cuando necesiten los datos para cumplir con el propósito inicial de la recolección.
Para los dos derechos desarrollados arriba, el derecho al acceso y el derecho a la eliminación, las compañías californianas deben hacer disponibles, en una forma que sea razonablemente asequible, dos o más métodos para enviar solicitudes de cumplimiento a estos derechos, incluyendo un número telefónico gratuito y una dirección web. También deben entregar la información solicitada sin costo alguno dentro de los 45 días de envío de la solicitud.
3. Derecho a que la información no sea vendida, o derecho a “opt-out”
Este es el derecho a solicitar que un negocio que venda información personal a terceros no pueda vender más esta información. La sección 120 lo dice así: “Un consumidor debe tener el derecho, en cualquier momento, de obligar a un negocio que venda información personal del consumidor a terceros a no vender la información personal del consumidor. Este derecho se llama también el derecho a “opt-out””. [Senate Bill No. 1121. 2018]
A diferencia de la GDPR [BUKATY2019], las empresas no están obligadas a presentar a los usuarios un aviso con un “opt-in”, es decir, un aviso donde se les informe que su información personal va a ser vendida. Es decir, y aquí es donde hay complejidad jurídica, que las compañías californianas pueden vender la información personal de los consumidores sin un consentimiento previo.
No obstante, como lo indica la sección 135, los negocios sí están obligados a mostrar en una forma conspicua y clara un link en su página web, titulado “No vender mi información personal”, que dirija a una página en la cual se pueda “opt-out”.
¿Cómo afecta la legislación californiana, que entró en vigor el 1 de enero de 2020, a los consumidores de otros países?
Los anteriores derechos y obligaciones atañen a empresas basadas en California. En la sección 140 se define “negocio” de la siguiente manera:
“Una propiedad, asociación, sociedad de responsabilidad limitada, corporación […] que recolecte información personal […] que haga negocios en el Estado de California”. [Senate Bill No. 1121. 2018]. Es decir que, si un negocio está situado en California, la CCPA le atañe.
Ahora bien, cabe preguntarse: ¿si la ley aplica a los negocios que están en California, también aplica únicamente a los californianos? Frente a esta pregunta existen ambigüedades. David Zetoony [LEXOLOGY, 2019] afirma que sí, porque aplica para los consumidores californianos: la ley define consumidores (sección 140, apartado g) como “la persona natural que reside en California”.
Sin embargo, en la sección 145 se establece que las obligaciones impuestas a los negocios por esta ley no los limitan para “recolectar o vender información personal si cada aspecto de esa transacción comercial toma lugar completamente por fuera de California” [Senate Bill No. 1121. 2018]. Esta última parte de la ley implica que las empresas californianas trabajen por fuera de California, con consumidores de otras partes del mundo.
Lo cual nos lleva a la siguiente sección de esta investigación, que es la de preguntarnos cómo aplica esta ley en otras partes del mundo. Para esto, es importante investigar si las políticas de privacidad de compañías radicadas en California, como Facebook, Google o LinkedIn, exponen una política de privacidad igual o similar a la CCPA para otras partes del planeta.
Por ejemplo, Facebook expone una política de privacidad del 19 de abril del 2018, en cuya sección “¿Cómo operamos y transferimos datos como parte de nuestros servicios internacionales?” se afirma que se obtiene el consentimiento de los usuarios a transferir la información personal a Estados Unidos. La empresa está situada en California, lo que implica que, al aprobar la política de datos de Facebook, esta empresa obtiene el consentimiento para que los usuarios de otras partes del mundo transfieran su información a Estados Unidos, y apliquen los derechos de la CCPA.
En cuanto a los derechos, la política de privacidad expone el derecho a acceso, rectificación, transferencia y supresión. Estos derechos se presentan en las políticas de privacidad que el usuario debe aceptar una vez se registra. Sin embargo, se menciona que la información no se vende, razón por la cual se hace innecesario el derecho a “opt-out”. La información que proporciona Facebook a analistas y agentes de mercadeo para perfilar mejor a sus clientes se hace de forma gratuita. Ahora bien, al ser esta política de privacidad de abril de 2018, aún no se había aprobado la CCPA (24 de septiembre de 2018), motivo por el cual queda la expectativa de conocer una nueva actualización de dicha política que incluya lineamientos de la nueva ley californiana.
El caso de Google es interesante. Los headquarters de Google están situados en California, pero en la política de privacidad de Google se afirma que existen servidores en todo el mundo, y que la información personal de sus usuarios puede ser tratada en servidores por fuera del país de residencia. Se informa así mismo que “las leyes de protección de datos varían entre los países, donde algunos proveen mejor protección que otros” [GOOGLE, 2020]. Esto significa que la información personal de los usuarios de Google es tratada en otros países, aunque es posible que también lo sea en California.
En cuanto a la presentación de quejas o reclamos, se contacta personalmente a la persona que presentó la queja, y se trabaja con “las autoridades locales de protección de datos” [GOOGLE, 2020]. A pesar de que Google afirme en su política de privacidad lo anterior, vale la pena verificar si cumple con los lineamientos de la CCPA.
Para registrarse en Google se debe aceptar la política de privacidad, que fue publicada en marzo 31 de 2020. Con ello se permite a la compañía recolectar información como el lenguaje que el usuario usa, o información más compleja como la publicidad que el usuario encuentra útil. También se exponen otras categorías de datos que Google recolecta, como los datos GPS, la dirección IP, datos del sensor del dispositivo y datos de la señal Wi-Fi. También se expone el propósito con el cual se va a utilizar la información, que es el de mostrar resultados afines a la información perfilada del usuario, mejorar los servicios y desarrollar nuevos servicios. En este sentido, la compañía de búsqueda sí provee al usuario el derecho al acceso al momento de recolección de la información. En el caso de la publicidad, Google sí trabaja con la información ingresada en la barra de búsqueda, aunque no vende información personal. Para el derecho a la eliminación, Google presenta la posibilidad de solicitar la eliminación del contenido de sus servicios, basado en “ley aplicable”, y aunque sí existe este derecho, no es claro cual es la ley a la que se hace referencia.
Por último, LinkedIn afirma en su política de privacidad que los datos son procesados en Estados Unidos y en Singapur, y que se “confía” en mecanismos jurídicos para transferir legalmente los datos entre países. LinkedIn ofrece el derecho a “opt-out”, o en la traducción al español de esta compañía, “autoexcluirse” de la publicidad basada en intereses. También están publicadas todas las categorías de información personal recolectada y el propósito con el cual se van a utilizar, motivo por el cual se haría innecesario enviar una solicitud para recibir esta información. Además, se da la opción de eliminar los datos. A estos tres derechos, enumerados anteriormente en la CCPA, se suman los derechos a cambiar, rectificar, rechazar, limitar, restringir, acceder o recopilar los datos, derechos relacionados más a la GDPR.
Conclusiones
La CCPA es una ley que fue construida en un contexto de una mayor comprensión por parte de los consumidores acerca de sus derechos en internet y de las grandes compañías por defender sus modelos de negocio. A partir de lo ocurrido por Cambridge Analytica se expuso la fragilidad de la información personal de los usuarios y los activistas de derechos tuvieron a su favor el apoyo de los votantes de California para presentar la ley de protección de datos. La CCPA (California Consumer Privacy Act) o Senate Bill 1121, presenta a los consumidores los derechos de acceso, eliminación, y no venta de información personal. Las compañías de tecnología basadas en California trabajan con los datos personales de los usuarios alrededor del mundo. Se evidenciaron diferencias importantes en como las diferentes compañías abordan la privacidad de los usuarios en temas como el flujo transfronterizo, la posibilidad de eliminar los datos recopilados, o la posibilidad de solicitar que los datos no sean vendidos. Es de esperarse que esta preocupación por el uso de datos personales por parte de los consumidores de California se refleje en usuarios del resto del mundo que consumen dichos servicios en este estado, y por lo tanto las empresas interesadas en desplegar estrategias internacionales deberían considerar esta ley y su proceso de implementación.
Nicolas Spijkers
Bibliografía
[BUKATY2019]. Preston Bukaty. The California Consumer Privacy Act (CCPA): An implementation guide. Ely, Cambridgeshire, United Kingdom: IT Governance Publishing. Retrieved May 19, 2020, from www.jstor.org/stable/j.ctvjghvnn
[Senate Bill No. 1121. 2018] Senate Bill No. 1121. CHAPTER 735. California Consumer Privacy Act of 2018. 24 de septiembre, 2018.
[LEXOLOGY, 2019] Privacy FAQs: Does the CCPA apply only to data about Californians? David Zetoony. Mayo 31, 2019. Lexology
[GOOGLE, 2020] GOOGLE PRIVACY POLICY. March 31, 2020