Seguridad

COPRA puede estar llegando, es demasiado pronto para prepararse

Como parte del trato por los servicios en línea «gratuitos», California controla la recopilación, el uso y la venta sin restricciones de los datos personales compartidos por los consumidores, con la vista puesta en la costa oeste. A lo largo de los años, esta negociación se ha explicado en políticas de privacidad que rara vez se leen porque no hay mucha negociación en el mercado de datos personales. La Ley de Privacidad del Consumidor de California (CCPA) otorga a los consumidores derechos revolucionarios para acceder, eliminar, transferir y evitar la venta de sus datos.

A pesar de lo revolucionaria que es la CCPA, se están gestando desarrollos más significativos en las leyes de privacidad y seguridad de datos en el otro lado del continente. En Washington, D.C., por primera vez, el Congreso está considerando seriamente la legislación para brindar privacidad y seguridad de datos integrales (PDS). Una serie de eventos poco probables hace que sea más probable que nunca que el Congreso apruebe la legislación PDS, la Ley de derechos de privacidad en línea del consumidor (COPRA), presentada a fines de noviembre.

poco a poco

Ni CCPA ni COPRA fueron las primeras regulaciones de PDS. Casi una docena de regulaciones federales incluyen elementos del PDS. Cada uno es limitado, ninguno se aplica ampliamente a las preocupaciones de privacidad y seguridad de datos. En la colcha de retazos del reglamento del PDS:

  • CAN-SPAM (Control de Ataques a la Pornografía y Marketing No Solicitados)
  • COPPA (Ley de protección de la privacidad en línea de los niños)
  • FACTA (Ley de Transacciones de Crédito Justas y Precisas)
  • FCRA (Ley de informes crediticios justos)
  • HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico)
  • RFPA (Ley de Privacidad Financiera)
  • TCPA (Ley de Protección al Consumidor de Teléfonos)

También hay algunas reglas relacionadas:

  • DNC (rechazar llamada)
  • Normas de privacidad y normas de protección de Graham-Leach-Bliley
  • regla de la bandera roja
  • TSR (Reglas de telemercadeo)

Su estatuto principal, el Título 5 de la Ley de la FTC, proporciona la base para muchas de estas leyes y la mayoría de sus actividades de aplicación. Durante años, la FTC ha liderado los esfuerzos de cumplimiento contra los malos actores y ha brindado pautas para la industria.

El informe de 2012 de la FTC sobre protección al consumidor describe las mejores prácticas para las empresas. Sus recomendaciones incluyen: privacidad desde el diseño (la privacidad del consumidor debe considerarse en cada etapa del desarrollo del producto), mecanismos de no seguimiento y mayor transparencia. También recomendó en 2012 que el Congreso considere la legislación general sobre privacidad, la legislación que regula a los intermediarios de datos y la legislación sobre seguridad de datos y notificación de infracciones.

Las leyes PDS existentes no solo se dividen en regulaciones federales. También se distribuyen en las leyes de los 50 estados. Las legislaturas de los 50 estados han aprobado leyes de violación de seguridad de datos y continuarán revisándolas. En el mundo de las tiendas físicas, un collage de leyes estatales es relativamente manejable. Ahora es una pesadilla de cumplimiento. Con tantas leyes de PDS, se necesitaba una solución que Tolkien podría haber imaginado: un estatuto para gobernarlas a todas. Sorprendentemente, el Congreso parece haber dado un paso adelante para proporcionarlo en forma de COPRA.

¿Porqué ahora? Uno, Silicon Valley es un blanco político fácil. Las grandes fortunas de Facebook y Google muestran que los consumidores no obtienen un trato justo en los servicios en línea gratuitos para datos personales. En segundo lugar, la FTC tomó medidas contra cada una de estas empresas por violaciones de la privacidad de datos y abordó la cantidad que los demócratas del Congreso ridiculizaron como demasiado baja para incentivar un mejor comportamiento.

En tercer lugar, el escándalo de Cambridge Analytica reveló cómo se pueden utilizar los análisis para fines nefastos. En cuarto lugar, el RGPD de la UE proporciona un modelo sobre cómo dar a los consumidores control sobre su información personal. Las leyes de PDS de Europa pueden ser ignoradas, pero la violación de la ley por parte de California ha avergonzado al Congreso y ha creado la amenaza de que las empresas tengan que lidiar con 50 regulaciones generales (y contradictorias) de PDS de los estados.

por favor regular nosotros

En este campo de aplicación estatal de rápido crecimiento, las empresas que generalmente se oponen a la legislación federal ahora esperan que los salve de los esfuerzos estatales. La primavera pasada, los cuatro principales grupos comerciales de publicidad en línea (4A’s, ANA, IAB y NAI) formaron una coalición de los principales expertos legales para trabajar con el Congreso a fin de respaldar una legislación integral sobre privacidad y seguridad de los datos del consumidor. La American Privacy Alliance propone la creación de una nueva oficina de protección de datos dentro de la FTC.

Durante años, la industria de la publicidad en línea ha intentado eludir la regulación federal mediante la autorregulación y brindando a los consumidores un mecanismo para optar por no participar en la orientación en línea. Los esfuerzos para una opción genérica Do-Not-Track (DNT) fallaron. Los principales navegadores agregan configuraciones DNT, pero los sitios web no están legalmente obligados a cumplir con las configuraciones DNT.

Los consumidores generalmente creen que el contenido en línea es «gratuito» siempre que el sitio sea compatible con anuncios, pero como los anuncios también aparecen en los sitios de comercio electrónico, se han convertido en una fuente adicional de ingresos, extendiendo el modelo asistido por anuncios tradicional. Los consumidores pueden entender o no que el precio pagado a un sitio por el inventario de anuncios es una función de la audiencia limitada del sitio.

La tecnología publicitaria ahora puede enviar cada impresión de anuncio (cada espacio publicitario que vea) a la oferta en tiempo real de la agencia del anunciante. Adtech también permite a los consumidores bloquear rastreadores o incluso bloquear anuncios por completo. Cada consumidor que usa un bloqueador de anuncios se convierte en un usuario gratuito, ejerciendo más presión sobre los sitios para generar más ingresos de las impresiones de anuncios desbloqueados y comprar tecnología antibloqueo de anuncios, invirtiendo más dinero. Aléjese del desarrollo de contenido.

Otras tecnologías brindan la capacidad de navegar de forma anónima y cambiar las direcciones IP. Los desarrolladores de software continuarán desarrollando más herramientas para mejorar la privacidad, y los consumidores más sofisticados aprovecharán estas medidas de autoayuda para proteger su privacidad. Pero, ¿y los demás?

El Comité de Comercio del Senado actualmente tiene dos propuestas legislativas, pero COPRA de alguna manera se lleva la delantera. COPRA, apodado el «proyecto de ley de los demócratas», es un respaldo de sus partidarios en el Senado, que busca crear un sistema integral de DPS que se aplique a todos los sectores comerciales de EE. UU.

Las regulaciones propuestas establecerían por primera vez que los consumidores estadounidenses tienen derechos sobre sus datos. Según COPRA, estos derechos incluyen el derecho a acceder a sus datos, mover sus datos, restringir el intercambio de datos y las ventas, y poder otorgar (o rechazar) el procesamiento de esos datos.

COPRA contiene muchas propuestas, por desgracia, es solo el equivalente legislativo de un borrador de discusión destinado a ser señalado por el Congreso. Esto es lo que creemos que podría sobrevivir al proceso legislativo, en este proyecto de ley u otros:

  • Reconocer que algunos consumidores tienen derecho a controlar algunos de sus datos;
  • La definición de «datos cubiertos» amplía los derechos de los consumidores más allá de la información que proporcionan a las empresas;
  • Los consumidores tienen derecho a acceder, revisar y corregir los datos;
  • El derecho de los consumidores a controlar parte de sus ventas de datos;
  • La empresa revela la fuente de al menos algunos de los datos del consumidor; y
  • Ejercer influencia sobre las empresas que tienen datos de responsabilidad del consumidor, incluida la publicación de políticas de privacidad, la creación de capacitación y el informe de sus prácticas a las agencias federales responsables.

Si la historia sirve de guía, hay otras disposiciones propuestas que parece poco probable que se aprueben. Es poco probable que el estatuto que aprobaron ambas cámaras incluya derechos integrales para que los consumidores controlen todos sus datos, independientemente de la fuente; un régimen integral de PDS «opt-in», el derecho a mover datos a voluntad y un derecho privado a reclamar daños y perjuicios.

Una disposición que causó revuelo público en las noticias, pero mereció escepticismo, fue la propuesta de una nueva oficina en la FTC para tratar los problemas de privacidad y seguridad de los datos. De hecho, durante casi tres años, la FTC ha sido el regulador más consistente del PDS. Nuevamente, dada la historia, la FTC es el lugar lógico para albergar a los reguladores de PDS.

Sin embargo, la misma historia reciente también ha suscitado dudas. Después de todo, la FTC es el lugar ideal para un nuevo regulador de las prácticas financieras del consumidor, pero no es ahí donde terminará la CFPB. Y luego hay otra razón para el escepticismo: la extraña visión de los comisionados de la FTC testificando ante el Congreso y rogando a los legisladores que no lleguen a un acuerdo. Es posible que no esté satisfecho con los términos del acuerdo.

  • Verifique su seguro de violación de datos.
  • Revisa tus obligaciones contractuales en caso de violación de datos. Cuidado con la indemnización abierta.
  • Determine cuál es su responsabilidad legal real ahora. Si hace negocios en la UE, cumpla con el RGPD. (Algunos abogados estadounidenses son expertos en GDPR). Si hace negocios o se encuentra en California, siga la CCPA. Verifique las leyes de su estado: afectan su negocio más directamente que GDPR, CCPA o la legislación federal esperada.
  • Actualizar el cumplimiento de las leyes y reglamentos de PDS existentes. A partir de ahora, las normas y reglamentos federales mencionados anteriormente son un mosaico de leyes. Es muy posible que el cumplimiento de las leyes actuales lo convierta en algo en el futuro de Washington. Como mínimo, actualizar o refinar su programa de cumplimiento le brindará una buena base sobre la cual pasar al siguiente gran paso, sea lo que sea.
  • Si debe hacer una gran inversión en DPS ahora, hasta que quede claro, suponiendo que esté comenzando un programa de cumplimiento desde cero, su mejor opción es cumplir con las leyes federales actuales de DPS y los requisitos de las leyes estatales locales. Si no hay estándares federales o estatales claramente aplicables, es posible que desee utilizar la CCPA como una recomendación para informar sus opciones. (Por ejemplo, la ley federal actual no requiere específicamente que las empresas publiquen una política de privacidad en su sitio web o que coloquen un enlace a una política de privacidad en su sitio web. Sin embargo, la CCPA sí lo hace. No es difícil predecir que el requisito de la CCPA para ambos aparecerán en cualquier legislación federal que finalmente se apruebe).
  • Independientemente, sea cual sea su situación, busque un abogado con experiencia en cumplimiento que lo guíe. Muchas empresas de comercio electrónico evitan cualquier discusión sobre programas de cumplimiento porque la carga parece demasiado pesada.

    La verdad es que nadie necesita construir una estructura de cumplimiento integral desde cero. Un abogado de cumplimiento puede ayudarlo a priorizar al identificar qué políticas de cumplimiento necesita ahora, cuáles puede guardar para más adelante y cuáles no necesita en absoluto.

    Publicaciones relacionadas

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Botón volver arriba