Por: Chris Mermigas – Consejo Corporativo Sénior, Región de EE.UU.

El Reglamento General de Protección de Datos de la Unión Europea (General Data Protection Regulation, o GDPR) entró en vigor el 25 de mayo de 2018 y causó un gran revuelo en todo el mundo. Estableciendo derechos y protección para los datos personales de ciudadanos de la UE, el GDPR se aplica a todos los que manejen o posean datos personales de ciudadanos de la UE, o que de algún otro modo monitoreen esos datos, sin importar dónde se encuentre el negocio o los datos personales. En respuesta al GDPR, leyes similares de protección de datos se están promulgando en los Estados Unidos, comenzando con la Ley de Protección al Consumidor de California, de 2018 (California Consumer Protection Act, o CCPA), que deberá entrar en vigor el 1º de enero de 2020. Varios elementos encontrados en el GDPR aparecen en la CCPA. Por ejemplo, el GDPR protege las informaciones personales de residentes de la EU, mientras que la CCPA protege los datos personales de los residentes de California. Sin embargo, hay algunas diferencias significativas que requieren una atención especial.

En primer lugar, el GDPR establece que los consumidores deben consentir la recolección y el uso de su información personal. En comparación, la CCPA refleja las leyes existentes que ya están vigentes en California, incluyendo la TCPA, que requiere que los controladores de datos ofrezcan a los consumidores el derecho a optar si no desea participar en la recolección de datos. Este derecho es comúnmente visto como un cuadro que se rellena en la página del formulario de inscripción. Esto permite que los controladores de datos recopilen información personal sin el consentimiento del consumidor, aunque deben proporcinarle una oportunidad de solicitar la eliminación de su información personal.

En segundo lugar, la CCPA amplió la definición del término «datos» encontrado en el GDPR, para incluir información oculta incorporada en los datos, o «metadatos». De acuerdo con la CCPA, los controladores de datos están obligados a alertar a los consumidores acerca de las categorías de las informaciones personales que se recolectarán y para qué propósito serán usadas, así como acordar no recopilar ninguna otra categoría de información personal sin previo aviso. Las categorías de información personal incluyen los datos personales facilitados voluntariamente por el consumidor, así como la información oculta de los visitantes de sitios web, tales como direcciones de IP y ubicación geográfica. De este modo, los sitios web no pueden recolectar información personal oculta. Esta es una visión de vanguardia en el ámbito tecnológico, y enfatiza que los datos no existen solo en los formularios y en las páginas de «contáctenos», sino que son intercambiados constantemente, incluso sin el conocimiento del consumidor.

En tercer lugar, en la CCPA se redujeron los derechos que el GDPR otorga a los dueños de datos, centrando su enfoque en la comercialización de la información personal. Una reducción es que, bajo el GDPR, el controlador de datos está obligado a declarar el propósito para el cual se usará la información personal. Este derecho no forma parte de la CCPA. En otro ejemplo, la CCPA solo requiere que los controladores de datos establezcan «un link claro y visible en el sitio web de la empresa que indique»: «No Autorizo la Venta de mi Información Personal». Por otro lado, el derecho al olvido establecido en el GDPR no está presente en la CCPA. Es decir, una vez que una empresa publique o venda la información personal de un residente de California, este residente no tiene derecho a pedir que la información sea olvidada, borrada o devuelta al controlador de datos. Sin embargo, el consumidor puede evitar futuras ventas de su información personal, pero no puede deshacer la venta que ya ha ocurrido. Está claro que el enfoque de la CCPA es la prevención a la comercialización no deseada de la información personal con el propósito de proteger a los consumidores.

En cuarto lugar, la fiscalización de la CCPA es una atribución de la Procuradoría General de California, una entidad de vigilancia paralela a la autoridad que supervisa el GDPR. Esto no impide la interposición de demandas civiles particulares, pero otorga preferencia al Procurador General para asumir o iniciar una demanda. Estas demandas pueden resultar en daños estatutarios de US$ 100 a US$ 750 por consumidor por incidente, o valores más altos en casos más graves. Esto significa que la multa mínima es de US$ 100 por consumidor por incidente, lo que, en un gran archivo de datos puede generar una indemnización exponencial, y no incluye los costos legales para defenderse en la demanda. Sin embargo, existe un «refugio seguro» para empresas en casos de indemnización. Si una empresa repara las infracciones dentro de los 30 días siguientes a la notificación, las indemnizaciones no se pueden aplicar. Esto no evita el daño incurrido, por lo que es que es importante que las empresas cumplan con el deber de mitigar los daños y que tengan políticas de datos eficaces para corregir otras violaciones.

California, que históricamente es innovadora en el ámbito legal, es solo el primer estado que ha aprobado una ley de protección de datos paralela al GDPR. Varios otros estados y el Congreso estadounidense están discutiendo leyes de protección de datos paralelas al GDPR. Es solo cuestión de tiempo hasta que otros estados y países promulguen leyes de protección de datos paralelas al GDPR. Ahora solo queda una opción: unirse a la revolución de la protección de datos y evitar las sanciones por incumplimientos.

Para obtener más información acerca del GDPR, lo invitamos a leer nuestro artículo anterior sobre el GDPR publicado aquí.