En BigIDeas en movimiento, un nuevo podcast que se centra en los líderes de la industria y las conversaciones relevantes sobre la privacidad, la seguridad y la gobernanza de los datos, el coautor de la CCPA, Rick Arney, habla con el director ejecutivo de BigID, Dimitri Sirota, sobre cómo la Ley de Derechos de Privacidad de California (CPRA), la última iniciativa de privacidad de California, es "la CCPA, más fuerte".
La Ley de Derechos de Privacidad de California (CPRA, por sus siglas en inglés) es la siguiente evolución de las regulaciones de privacidad de California, destinada a fortalecer, expandir y darle "fuerza real" a las regulaciones establecidas por la Ley de Privacidad del Consumidor de California (CCPA)Desde requisitos más estrictos de divulgación de datos hasta una aplicación más estricta, la CPRA se basa en las protecciones centrales de la CCPA para brindar a las personas un mayor control sobre sus datos.
El panorama anterior a la CCPA: la privacidad está fuera de control
En La CCPA cambió la forma de pensar de las organizaciones y los consumidores sobre la privacidad y los derechos de datos en Estados Unidos. Pero en un mundo pre-regulado, lograr que los legisladores actuaran para lograr cambios significativos en la legislación sobre privacidad presentaba un desafío, especialmente dado el poder y el tamaño de las organizaciones adineradas que tenían intereses creados en mantener el statu quo.
Cuando Arney coescribió el proyecto de ley, comenzó como una iniciativa de votación con suficientes firmas para llevarlo directamente a los votantes. Los grupos de interés mostraron interés, los grupos focales se enfocaron y las encuestas en 89% lograron que los legisladores prestaran atención. California aprobó la CCPA para mantener la jurisdicción sobre las futuras enmiendas y modificaciones de la ley, en lugar de dejar que se sometiera directamente a votación —y directamente al votante californiano— como una propuesta.
Si bien la aprobación de la CCPA fue una medida importante, una conclusión fundamental es la siguiente: la legislatura de California tiene la facultad de modificar la CCPA. Con frecuencia se presentan proyectos de ley para tal fin, lo cual podría debilitarla.
El derecho a saber: crear conciencia, crear un movimiento
La popularidad de la CCPA entre los residentes de California fue una revelación considerable. Históricamente, las iniciativas de privacidad han encontrado cierta resistencia debido a la falta de conocimiento y visibilidad sobre lo que realmente está en juego.
“Si le preguntas a la gente qué opinas de la privacidad, casi todos dicen: 'Sí, estoy a favor de la privacidad'”, dice Arney. Pero una vez que se empiezan a implementar regulaciones que podrían dificultarles las cosas a esas mismas personas, tienden a ceder. La CCPA empezó a cambiar esta situación al brindar transparencia a las personas sobre los datos que se recopilaban sobre ellas y cómo se utilizaban.
El “derecho a saber” de la CCPA otorga a las personas el derecho a saber qué información que las empresas están recopilando sobre ellos: revelar que las empresas tienen acceso a sus condiciones de salud, afiliaciones religiosas, opiniones políticas, historias sexuales y una gran cantidad de otra información sensible que se encuentra almacenada en varias bases de datos, a menudo para venderse al mejor postor.
“Cuando la gente descubre que su información personal “Si bien es cierto que está potencialmente a la venta, sólo mejora el movimiento de las personas hacia una mayor privacidad”, afirma Arney.
En otras palabras, estos datos son valioso—y las personas a menudo no se dan cuenta de que existe más allá de sus registros personales. La CCPA no solo les informa que tienen derecho a saber, sino que intenta devolver el control sobre esos datos a las personas, no al conglomerado.
¿Qué tiene de diferente la CPRA?
Las leyes son importantes, pero la capacidad de hacerlas cumplir lo es aún más. Y ese es un aspecto central del objetivo de la CPRA. Arney identifica algunos de los aspectos más destacados que la CPRA aporta a la panorama de la privacidad:
Aplicación
La CPRA redobla la responsabilidad con un enfoque transformador para su aplicación. Establecería una nueva agencia en el estado de California, encargada de hacer cumplir las nuevas regulaciones propuestas en virtud de la iniciativa, además de todas las incluidas en la CCPA.
La aplicación de la nueva agencia incluye poderes de citación y auditoría, lo que cambiaría la urgencia y la manera en que las empresas adoptan estándares de privacidad.
Nuevos derechos y sanciones incluidos en la CPRA
- El derecho a optar por no recibir una geolocalización precisa, actualmente definida como menos de un tercio de milla.
- Se triplicaron las multas por el uso indebido de la recopilación de información infantil. La CCPA impide la venta de información infantil, y estas nuevas multas bajo la CPRA refuerzan esa regulación.
- Minimización de datos para evitar que las empresas recopilen más información de la que realmente necesitan.
Reforzando el suelo
Para abordar las amenazas mencionadas que la CCPA ha enfrentado desde su adopción, la CPRA garantiza que las regulaciones bajo la CCPA no se debiliten en el futuro. La CPRA cuenta con un mecanismo que permitirá que la legislación la modifique continuamente —una necesidad dada la rápida evolución de la tecnología—, pero solo de manera que favorezca la privacidad. Si los cambios debilitan la privacidad de alguna manera, la legislatura no podrá aprobarlos.
En esencia, esto convierte a la CPRA en el piso, no el techo, para las regulaciones de privacidad y su aplicación en el futuro.
Privacidad en tiempos de coronavirus
Es un momento interesante para la privacidad. En el contexto de la COVID-19, la gente está pensando en la privacidad, en particular en el seguimiento de las personas infectadas.
Esto puede parecer aceptable cuando se trata de salvar vidas y prevenir la propagación de la enfermedad. Pero implica la recopilación de información médica personal y la elaboración de perfiles de seguros que conlleva. Más allá de eso, «desconocemos cuáles son las secuelas de la COVID-19», afirma Arney, o el trascendencia que podrían surgir de empresas que posiblemente vendan esos datos.
Proporcionar esta información voluntariamente es una cosa, pero las personas deben comprender (y estar informadas) si no existen controles adecuados sobre ella. Hay maneras de usar la información responsablemente para frenar la propagación y garantizar que existan controles sobre ella y que esté protegida: «Hay maneras de usar esta información para salvar vidas».
El futuro de la privacidad de datos: una buena privacidad es un buen negocio
A medida que la CCPA gana popularidad en otros estados, empieza a quedar más claro que "la buena privacidad es un buen negocio". Muchas empresas quieren que se convierta en el estándar de facto para otros estados, ya que facilita... conformidad más fácil.
Desde la aplicación pública de las normas de privacidad de la CCPA hasta la creación de un "nivel mínimo de privacidad" para futuras modificaciones, la CPRA se basa en un legado de privacidad en constante evolución para proteger los derechos personales. "Creo", afirma Arney, "que otros estados adoptarán esta norma y se convertirá en un estándar nacional. Con el tiempo, el gobierno federal podría aprobar algo similar, y ojalá que se parezca a la CPRA, para ser sinceros".