En BigIDeas en movimiento, Mary Stone Ross, coautora del Ley de Privacidad del Consumidor de California (CCPA) y la expresidenta de Californians for Consumer Privacy habla sobre cómo llegó al espacio de la privacidad desde "el lado opuesto", como analista de contrainteligencia de la CIA.
Un problema “aterrador” por resolver
En un pre-Cambridge Analytica En todo el mundo, el sentimiento popular con respecto a la privacidad de los datos se reducía a: "Si quieres mantener algo privado, simplemente no lo publiques en Internet".
Una vez introducido al ámbito de la privacidad, y con una sólida experiencia en políticas y derecho, Ross "comenzó a indagar y a intentar averiguar si realmente existe un problema. ¿Hay algún problema que estemos intentando resolver?"
Como ex miembro del Comité de Inteligencia de la Cámara de Representantes que ayudó a supervisar el programa de escuchas telefónicas de la NSA que Edward Snowden luego filtró, Ross tenía una visión única de cuál podría ser ese problema.
“La verdad es que no nos preocupaba mucho”, dice Ross sobre el programa en aquel momento. “Existían bastantes mecanismos de supervisión para controlar el uso de esa información y asegurar que no se extralimitara”.
Desde la perspectiva de Ross, muchos problemas importantes se redujeron a la supervisión. "Cuando comencé a investigar y a ver ¿Cuánta información? Estas grandes empresas estaban recolectando y el granularidad de detalleRealmente me aterrorizó. Y a medida que empecé a ver cuánta información, cosas como información de salud y la información precisa de geolocalización estaba disponible, y como nadie tenía supervisión sobre ella ni sobre cómo se utilizaba, supe que ese era el problema que necesitábamos resolver”.
De defensor de la privacidad a accionista de la CCPA
Ross comenzó a investigar para CCPA en 2016. «Se oye todo el tiempo: '¡Se aprobó en una semana, se redactó en una semana!'. Y nada más lejos de la realidad».
Al trabajar en estrecha colaboración con la ACLU, la EFF y varias organizaciones de privacidad, “realmente estábamos tratando de ser reflexivos y abordar las cosas de una manera diferente”.
La CCPA comenzó como una Ley de Libertad de Información para empresas privadas. "La idea era que uno podía ir a cualquier empresa y preguntar: '¿Qué sabe de mí?' y Tendrían que decírtelo.
“Incluso para las personas que tal vez no estén interesadas o no tengan tiempo para hacer estas cosas, es un control para estos negocios... Si tienen que divulgar en lenguaje sencillo Lo que recopilan y lo que hacen con esa información se convierte en una verificación indirecta. Quizás haya ciertos tipos de información “No quieren coleccionarlo porque no quieren que salga al público”.
CCPA: ¿Qué funcionó?
De los consumidores derechos sobre sus datos En cuanto a los requisitos de divulgación para las empresas, la CCPA estableció regulaciones importantes.
“Lo que no se ve detrás de escena es que hay muchas empresas que por primera vez pensaron en '¿Qué información estamos recopilando sobre las personas?'” Las organizaciones comenzaron mapeando sus datos y mejorar sus procesos internos, no sólo para los reguladores, sino para su imagen pública.
Bajo la CCPA, las empresas debían considerar: ¿Qué información tenemos? ¿La necesitamos? Y, de no ser así, ¿deberíamos...? Deshazte de él“Fue un gran triunfo”, dice Ross.
CCPA: ¿Qué no funcionó?
En opinión de Ross, la aplicación de la CCPA se vio afectada por compromisos legislativos que despojaron a personas y funcionarios del derecho a emprender acciones legales contra organizaciones que no cumplían con las normas.
En la iniciativa, aplicamos una normativa muy rigurosa. Permitimos un derecho de acción privado, lo que significa que cualquier persona perjudicada por una infracción de la CCPA podía interponer una demanda. Esto se eliminó.
Los fiscales de distrito, los fiscales municipales y los procuradores municipales ya no tienen derecho a iniciar acciones legales, solo el Fiscal General de California. "Tengo un gran reconocimiento del Fiscal General [Xavier] Becerra y del personal de su oficina, quienes han dado señales muy claras de que tienen la intención de hacer cumplir esta ley con seriedad", dice Ross.
El problema es que el Fiscal General cuenta con recursos limitados. Muy limitados: suficientes para unas tres acciones de cumplimiento al año. Como resultado, muchas empresas hacen lo mínimo indispensable, jugando con las probabilidades y asumiendo que no serán una de esas tres.
¿Resolverá la CPRA el “problema de cumplimiento”?
Si bien la última iniciativa de privacidad de California, la Ley de Derechos de Privacidad de California (CPRA), busca Poner “fuerza real” a la CCPA Al establecer una nueva agencia dedicada a la aplicación de la ley, Ross tiene reservas.
"Creo que es fantástico tener una nueva agencia de protección de datos en California", dice Ross, "pero tal como está redactada la nueva iniciativa, el presupuesto está limitado a 10 millones de dólares al año".
En cambio, el presupuesto de la FTC supera los 300 millones de TP/T al año, y todos coinciden en que no es suficiente para emprender todas las acciones de cumplimiento necesarias. Por lo tanto, 10 millones de TP/T es una cantidad realmente pequeña. Quizás sea suficiente para financiar una agencia, pero no entiendo por qué se limitaría el presupuesto a una cantidad tan pequeña cuando la magnitud del problema es enorme.
El futuro de la regulación federal
Al igual que otras iniciativas que se originaron en California, como estándares más estrictos sobre las emisiones de los automóviles y notificación de infracciones Requisitos: Ross previó el proliferación a nivel nacional y el impacto que la CCPA tendría más allá de las fronteras de California.
Como ex agente federal y actual defensora de la privacidad, considera que esto es una señal positiva para una futura legislación federal que reemplazaría las regulaciones estatales.
En Washington se sigue introduciendo una legislación sobre privacidad poco a poco… Creo que en los próximos años habrá una legislación federal integral sobre privacidad. Va más allá de la CCPA y la CPRA. Es lo que están haciendo otros estados. Creo que la industria teme una mezcla de 50 estados. Desde una perspectiva empresarial, dificulta mucho el cumplimiento.
Ross sostiene que los beneficios de las prácticas responsables de privacidad de datos residen en la confianza pública, la simplificación de los procesos comerciales y, en última instancia, una ventaja competitiva. «La privacidad», afirma, «es, en realidad, muy beneficiosa para el negocio».
Escuche la entrevista completa para aprender más sobre cómo Ross ayuda a las empresas a navegar la ley de privacidad y hacia dónde ve que se mueve el estado de la privacidad.