Ad Law Access
Al conmemorar el Día de la Privacidad de los Datos, hoy es un buen momento para hacer un balance de la situación de la legislación estadounidense sobre privacidad en relación con los avances de los últimos años. En menos de dos años, el GDPR y la CCPA se convirtieron en las leyes de privacidad más completas en vigor, otorgando a los individuos amplios derechos sobre su información, creando numerosos requisitos de responsabilidad y dando a las autoridades el poder de imponer multas potencialmente masivas. (Para obtener más información sobre el GDPR, consulte las publicaciones de nuestro blog, incluidas las de aquí y aquí.)
La CCPA encendió un debate sobre si rechaza o mantiene el «enfoque estadounidense» de la privacidad. Algunos observadores criticaron la CCPA por apartarse del «enfoque americano» de «innovación en gran medida sin permiso con una respuesta reguladora post hoc a daños concretos.» Otros criticaron la CCPA por permitir, en general, la recopilación y el uso de datos personales a menos que lo prohíba una «norma legal específica».
Es poco probable que este debate se resuelva pronto o de forma concluyente, pero está claro que, a nivel federal y estatal, es probable que las leyes de privacidad de datos de Estados Unidos se amplíen. Mientras que algunos estados -incluidos Washington y Virginia- están considerando proyectos de ley integrales influenciados por el GDPR, los estados también continúan considerando y añadiendo leyes que abordan prácticas de datos específicas, lo que podría causar una mayor fragmentación en las leyes de privacidad de Estados Unidos y desafíos adicionales de cumplimiento para las empresas.
¿Cómo deben gestionar las empresas el incierto camino que está siguiendo la legislación de privacidad en Estados Unidos? Adoptar una visión integral y holística de las prácticas de datos de una organización suele ser clave para cumplir con los requisitos actuales (como la CCPA) y también es probable que sea una forma eficaz de gestionar las leyes estatales dispares a medida que se desarrollan.
Hacia leyes de privacidad estatales integrales
El GDPR ha tenido un impacto importante en las leyes de privacidad globales. Argentina, Brasil, Malasia y Uruguay, entre otros, han adoptado leyes de privacidad siguiendo el modelo del GDPR. La CCPA incluye varios elementos del GDPR, como los derechos de acceso y de eliminación, aunque sigue habiendo diferencias significativas. (Para obtener una visión más detallada de la comparación entre el GDPR y la CCPA, consulte nuestro cuadro comparativo aquí). Además, los legisladores del estado de Washington están impulsando actualmente una Ley de Privacidad de Washington (SB 6281), una nueva normativa que regula la privacidad de los datos y el reconocimiento facial. El proyecto de ley hace referencia explícita al GDPR, afirmando: «La Unión Europea ha actualizado recientemente su legislación sobre privacidad mediante la aprobación y aplicación del reglamento general de protección de datos, ofreciendo a sus residentes las protecciones de privacidad más fuertes del mundo. Los residentes de Washington merecen disfrutar del mismo nivel de salvaguardias sólidas en materia de privacidad» (énfasis añadido). En Virginia también se está estudiando una ley de protección de la intimidad que daría a los consumidores el derecho a acceder a sus datos y determinar si se han vendido a un intermediario de datos (HB 473). El proyecto de ley de Virginia seguiría, en general, los derechos de los consumidores del GDPR, incluidos los derechos de acceso, rectificación, eliminación y el derecho a optar por no participar en el procesamiento posterior.
Las diferencias: Un ejemplo
Otros aspectos del «enfoque americano» de la privacidad se mantienen firmes frente al movimiento hacia leyes integrales. La privacidad biométrica ejemplifica los diferentes enfoques de la UE y de EE.UU. En la UE, los datos biométricos entran en el ámbito del GDPR como una «categoría especial de datos personales», y las empresas no deben procesar estos datos a menos que obtengan el consentimiento explícito, o que el procesamiento cumpla con otros motivos estrictos para el procesamiento legal que se aplican en todos los estados miembros de la UE. También como parte del GDPR, cualquier acceso no autorizado o adquisición de datos biométricos que constituya una violación de datos debe ser reportado a la autoridad pertinente dentro de las 72 horas.
En los Estados Unidos, la privacidad biométrica es una cuestión de ley estatal (por ahora), complementada por un puñado de órdenes de ejecución que abordan los datos biométricos. Sólo tres estados cuentan con leyes relevantes al respecto -Illinois, Washington y Texas- y el alcance y los requisitos de estas leyes varían considerablemente. Por ejemplo, la información biométrica puede desencadenar obligaciones de notificación de violaciones de datos si se ve comprometida, pero la activación de estas obligaciones varía de un estado a otro. La ley biométrica de Illinois tiene un derecho de acción privado, mientras que las leyes de Texas y Washington no lo tienen. Además, leyes como la HIPAA y el Título VII pueden proporcionar protecciones adicionales en algunas situaciones.
Fuera de Estados Unidos y la UE, los países están siguiendo el ejemplo de Europa. Muy pocos países tienen leyes específicas que regulen los datos biométricos, y en su lugar incluyen estos datos bajo una ley nacional, que a menudo contiene requisitos de consentimiento informado y derechos del sujeto de los datos. Aunque siguen existiendo dudas sobre el grado de protección de este enfoque en lo que respecta a los datos biométricos, muy pocos países están abordando estas cuestiones a través de leyes que se aplican a sectores o territorios.
Las implicaciones: Una conversación
Aunque el enfoque de la UE sobre la privacidad parece estar ganando a nivel mundial, los responsables políticos de Estados Unidos no ignoran los requisitos más específicos que abordan prácticas de datos concretas. Sin embargo, este enfoque fragmentario también podría causar confusión, complejidad y gastos. Por ejemplo, el requisito de «No vender mi información personal» de la CCPA podría convertirse rápidamente en algo impracticable si los estados adoptaran diferentes definiciones de «venta» de información personal.
Los miembros del Congreso que están considerando un proyecto de ley federal de privacidad tienen la oportunidad de decidir qué parte del enfoque estadounidense y qué parte del enfoque de la UE incluir en cualquier ley federal integral de protección de la información personal, así como si incluir la preponderancia y un derecho de acción privado. Estaremos atentos para ver cómo deciden.
En el fondo, esto es sólo el principio de las leyes de privacidad de datos. Los derechos de los consumidores, los requisitos de gobernanza y responsabilidad y las estructuras reguladoras seguramente evolucionarán y probablemente se ampliarán. Para las empresas que intentan incorporar algún tipo de protección para el futuro en sus programas de privacidad, tomarse el tiempo necesario para entender sus prácticas de datos, qué tipos de información personal recogen y mantienen, dónde está, por qué y durante cuánto tiempo la necesitan, y si la información personal está suficientemente protegida contra el peligro, permitirá más opciones para las estrategias de negocio, así como una gestión más eficiente del riesgo empresarial en respuesta al cambiante panorama legal.