Los californianos votaron a favor de la Proposición 24, también conocida como Ley de Derechos de Privacidad de California de 2020 (CPRA).
Si bien la CPRA, una enmienda a la Ley de Privacidad del Consumidor de California de 2018 (CCPA), ha sido muy disputado y se ha enfrentado a la oposición de ambos negocios y defensores de la privacidadLa aprobación de esta legislación supone un gran paso adelante para el panorama de la privacidad en Estados Unidos.
¿Qué cambia bajo la CPRA?
CPRA modifica la CCPA Para crear derechos adicionales de privacidad del consumidor, como el derecho de corrección y el derecho a limitar el uso y la divulgación de información personal sensible. También establece la Agencia de Protección de la Privacidad de California (CPPA), transfiriendo la autoridad normativa y de cumplimiento del Fiscal General de California a la nueva agencia estatal.
La CPPA será la primera agencia estadounidense dedicada exclusivamente a la privacidad, similar a cómo los estados miembros de la UE tienen su propia privacidad individual. autoridades de protección de datos según el RGPD.
“No vender” según la CPRA
La CPRA impacta directamente en la comunidad de tecnología publicitaria, ya que Fortalece el mandato de la CCPA de “no vender” información personalSi bien algunos han argumentado que la CCPA no exige la exclusión voluntaria de la publicidad dirigida, la CPRA anula efectivamente el debate, incorporando la capacidad de las personas para optar por no compartir información —no sólo su venta— con fines de publicidad comportamental.
Con la combinación de la CPRA, los esfuerzos de privacidad realizados por los principales navegadores y las recientes actualizaciones de iOS14 para eliminar el seguimiento de terceros, la industria de la tecnología publicitaria probablemente contraatacará o tendrá que cumplir con las regulaciones de privacidad.
Información personal confidencial (SPI) según la CPRA
La CPRA introduce una nueva definición de “información personal sensible” (SPI), con requisitos más amplios que el RGPD “Categorías especiales de datos personales”. La definición de SPI de la CPRA incluye:
- identificadores emitidos por el gobierno
- credenciales de inicio de sesión de la cuenta
- información de la cuenta financiera
- geolocalización precisa
- contenidos de ciertos tipos de mensajes
- datos genéticos
- origen racial o étnico
- creencias religiosas
- biometría
- datos de salud
- datos relativos a la vida sexual o la orientación sexual
Según la CPRA, las empresas deben ofrecer a los consumidores la posibilidad de limitar el uso y la divulgación de su información personal sensible. En otras palabras, un consumidor podría indicar a una empresa que utilice su SPI únicamente para los fines necesarios para prestar el servicio o proporcionar los bienes solicitados. Las empresas estarían obligadas a respetar dichas solicitudes a menos que el consumidor autorice posteriormente el uso de la SPI para fines adicionales.
Además de la El alcance ampliado de la información regulada incluye la ley propuesta minimización de datos y requisitos de retención de datosLas empresas tendrían que revelar cuánto tiempo conservan los datos y garantizar que este plazo sea solo el que sea "razonablemente necesario".
Auditorías anuales y evaluaciones de riesgos
Otra nueva disposición de la CPRA —y nueva en la legislación de privacidad estadounidense— incluye el requisito de auditorías anuales y evaluaciones de riesgos para cualquier actividad de procesamiento de alto riesgo, que el Procurador General y, eventualmente, la nueva agencia de protección regularían.
Esas regulaciones requerirán que las empresas cuyo procesamiento presente riesgos significativos para la privacidad o seguridad del consumidor realicen una investigación exhaustiva e independiente. auditoría de ciberseguridad cada año.
Para determinar qué amerita una auditoría de este tipo, la normativa consideraría el tamaño y la complejidad de la empresa, así como la naturaleza y el alcance del procesamiento. Las empresas implicadas tendrían que presentar evaluaciones de riesgos periódicas a la CPPA, estableciendo el objetivo del procesamiento y sopesando los beneficios para todas las partes interesadas con los riesgos para el consumidor.
CPRA y transferencias transfronterizas de datos
Para agregar a todo esto, existe una pequeña pero notable posibilidad de que la CPRA pueda ayudar a resolver temporalmente los desafíos en torno a la invalidación del Escudo de Privacidad UE-EE. UU..
Ciertas disposiciones de la CPRA, como el derecho del consumidor a la corrección, los requisitos de retención, la limitación de la finalidad y la minimización de datos, podrían ayudar a impulsar al estado de California a ser una jurisdicción "adecuada" según el RGPD para transferencias transfronterizas de datosCon más de 1 billón de dólares en comercio entre EE. UU. y la UE en juego, California podría terminar como el centro de alojamiento de datos.
¿Qué significa la CPRA para el panorama de la privacidad (y una ley federal)?
De cara al futuro, no está claro qué impacto tendrá la CPRA en el panorama más amplio de la privacidad, en particular en lo que se refiere a legislación federal.
Por un lado, la nueva versión de la ley de privacidad de California entrará en vigor en enero de 2023, con supervisión retroactiva de las prácticas de datos de una empresa desde enero de 2020. Con dos años entre su adopción nacional y su implementación, la CPRA podría darle al Congreso el impulso que necesita para implementar la legislación federal de privacidad de Estados Unidos.
Además, es probable que veamos un resurgimiento de los proyectos de ley sobre privacidad en 2021, como el Proyecto de ley de la Ley de Privacidad de Washington, que ha surgido por tercera vez en la legislatura estatal y toma prestados elementos de tanto la CCPA como el RGPD.
La industria también está siguiendo de cerca la controvertida decisión de la Comisión Estatal de Leyes Uniformes (ULC). proyecto de propuesta, que los estados podrían adoptar como modelo para su propia legislación sobre privacidad. Si la CPRA y otras propuestas de privacidad empiezan a materializarse, la demanda de un mandato federal cobrará aún más fuerza.
Consulte la Guía de BigID para el cumplimiento de la CPRA para obtener más información sobre las novedades de CPRA y cómo .
Autor
