Carlos B Fernández. El pasado 8 de julio, la Agencia de Protección de la Privacidad de California (CCPA) inició la tramitación formal de la propuesta de Reglamento (Regulations o Regs) de la Ley de Derechos de Privacidad de California de 2020 (California Privacy Rights Act of 2020, CPRA), cuyo primer borrador se había dado a conocer en mayo de este año.
Recordemos que la CPRA supuso una reforma de la California Consumer Privacy Act (Ley de defensa de la privacidad de los consumidores de 2018, o CCPA), para ampliar los derechos de los ciudadanos en materia de privacidad, incrementar las exigencias a las empresas para que cumplan con la protección de datos, aumentar las sanciones en caso de incumplimiento y crear una agencia estatal para vigilar y hacer cumplir esta normativa.
El inicio del procedimiento abrió un período de consulta pública de 45 días, que finalizará el 23 de agosto de 2022. La Agencia también organizará audiencias públicas al respecto los días 24 y 25 de agosto. Una vez finalizada esta fase de consultas, la Agencia californiana determinará si continúa adelante con la tramitación del texto original o si realiza modificaciones adicionales basadas en los comentarios recibidos.
Según se expone en la información sobre el inicio de la tramitación (Notice of proposed rulemaking), el reglamento propuesto tiene tres objetivos principales: 1) actualizar los reglamentos en vigor de la CCPA para armonizarlas con las enmiendas que introdujo la CPRA; 2) hacer operativos los nuevos derechos y conceptos introducidos por la CPRA para proporcionar claridad y especificidad para aplicar la ley y, 3) reorganizar y consolidar los requisitos establecidos en la ley para que estos reglamentos sean más fáciles de seguir y entender.
Alcance de la propuesta
Más concretamente, el reglamento propuesto:
- Establece normas que definen los fines para los que una empresa puede recopilar, utilizar, retener y compartir información personal de los consumidores, en consonancia con las expectativas de éstos.
- Establece las normas, procedimientos y excepciones necesarios para garantizar que las notificaciones y la información que las empresas están obligadas a facilitar en virtud de la CCPA se proporcionen de una manera que pueda ser fácilmente entendida por el consumidor medio, sean accesibles a los consumidores con discapacidades y estén disponibles en el idioma utilizado principalmente para interactuar con el consumidor.
- Establece normas y procedimientos para regular y facilitar la presentación de la solicitud de exclusión de la venta/compartición de datos (request to opt-out of sale/sharing) y la solicitud de limitación del cumplimiento de la solicitud por parte de una empresa, para garantizar que los consumidores tengan la posibilidad de ejercer sus opciones sin una carga indebida e impedir que las empresas adopten una conducta engañosa o de acoso, incluso como represalia contra los consumidores por ejercer sus derechos, permitiendo al mismo tiempo que las empresas informen a los consumidores de las consecuencias de su decisión.
En concreto, la propuesta indica que las opciones a ofrecer son: 1) "No venda ni comparta mi información personal" (Do Not Sell or Share My Personal Information) y, en su caso, "Limite el uso de mi información sensible" (Limit the Use of My Sensitive Information); 2) "Sus opciones de privacidad" (Your Privacy Choices); o 3) "Sus opciones de privacidad en California" (Your California Privacy Choices); sin embargo, "este enlace alternativo de exclusión voluntaria es para ofrecer a las empresas la opción de proporcionar a los consumidores un único enlace claramente etiquetado que permita a los consumidores ejercer fácilmente tanto su derecho de exclusión voluntaria de la venta/compartición, como el derecho de limitación, en lugar de publicar los dos [enlaces] por separado".
- Establece normas y procedimientos para facilitar el derecho del consumidor a eliminar, corregir u acceder a la información personal tratada por un responsable.
En este sentido, la Agencia da instrucciones a las empresas para que a la hora de determinar si aceptan la nueva información personal presentada por un consumidor o rechazan la solicitud consideren la "totalidad de las circunstancias". Un concepto que incluye la naturaleza de la información personal (por ejemplo, si es objetiva, subjetiva, no estructurada, sensible, etc.); la forma en que la empresa ha obtenido la empresa la información impugnada; y la documentación relativa a la exactitud de la información, ya sea proporcionada por el consumidor, la empresa u otra fuente. En este sentido, la propuesta añade que "si la empresa no es la fuente de la información personal y no dispone de documentación que respalde la exactitud de la información, la afirmación de inexactitud del consumidor puede ser suficiente para demostrar que la información personal es inexacta".
- Establece normas sobre la frecuencia y las circunstancias en las que un consumidor puede solicitar una corrección de su información personal; cómo responde una empresa a la solicitud; cómo se resuelven las dudas sobre la exactitud de esa información; las medidas adoptadas para evitar el fraude; y el derecho a presentar un anexo cuando una solicitud de corrección de la información sanitaria haya sido rechazada.
- Establece procedimientos para ampliar el periodo de 12 meses de divulgación de la información tras una solicitud verificable del consumidor de acuerdo con la sección 1798.130, subdivisión (a)(2)(B).
- Define los requisitos y especificaciones de un concepto de control global de la privacidad denominado "señal de preferencia de exclusión" (opt-out preference signal, OOPS). En concreto, mientras que la CPRA considera que el cumplimiento de esta seña es opcional por parte de las empresas, la propuesta de la Agencia californaina ha adoptado decididamente la posición de que el cumplimiento de la OOPS es obligatorio.
Además, incluye una forma de gestión de esta opción del consumidor por parte de la empresa denominada “sin fricción” (Frictionless manner), que permite simplificar los trámites para su cumplimiento.
- Establece normas que regulen la respuesta de las empresas a una señal de preferencia de exclusión voluntaria cuando la empresa haya optado por acogerse cumplir con la sección 1798.135, subdivisión (b).
- Establece normas que regulen el uso o la divulgación de la información personal sensible de un consumidor.
En este sentido, se reconoce el derecho de los consumidores (Right to limit) a solicitar a una empresa que limite el uso y divulgación de la información personal sensible (sensitive PI) que le afecte.
- Define y amplía los fines comerciales para los que las empresas, los proveedores de servicios y los contratistas pueden utilizar la información personal en consonancia con las expectativas de los consumidores, y definen mejor los fines comerciales para los que los proveedores de servicios y los contratistas pueden combinar información personal.
- Identifica los fines comerciales para los que los proveedores de servicios y los contratistas pueden utilizar la información personal de los consumidores en virtud de un contrato escrito con una empresa, para los propios fines comerciales del proveedor de servicios o del contratista.
- Establece los procedimientos para la presentación de reclamaciones ante la Agencia de Protección de la Privacidad de California y los procedimientos necesarios para la aplicación administrativa de la CPRA por parte de la Agencia.
- Define el alcance y el proceso para el ejercicio de la autoridad de auditoría de la Agencia, así como los criterios para seleccionar los que serían objeto de una auditoría, y
- Armoniza la normativa que regula los mecanismos de exclusión, las notificaciones y otros mecanismos operativos para promover la claridad y la funcionalidad.
Sin embargo, se explica también en ese documento que, al menos por ahora, la Agencia californiana no promulgará normas sobre auditorías de ciberseguridad, evaluaciones de riesgo o tecnologías de toma de decisiones automatizada. Estas áreas serán objeto de una futura regulación.
Beneficios apartados por esta reglamentación
Según la Agencia californiana, la normativa propuesta ofrece una serie de importantes beneficios a los californianos.
Sobre la base de la normativa ya establecida por la CCPA, la nueva reglamentación propuesta proporciona una orientación completa a los consumidores, las empresas, los proveedores de servicios y los terceros, sobre cómo aplicar y poner en práctica los nuevos derechos de privacidad de los consumidores y otros cambios introducidos en la CCPA por la CPRA.
En particular, se establecen requisitos claros sobre cómo las empresas deben elaborar sus procedimientos para cursar las solicitudes de los consumidores en relación con el tratamiento de sus datos personales, y obtener su consentimiento, de modo que la elección del consumidor se haga libremente y no se manipule, subvierta o perjudique mediante el uso de patrones oscuros (dark patterns).
También explican claramente que las modificaciones introducidas por la CPRA restringen a las empresas la posibilidad de recopilar, utilizar, retener y compartir la información personal de los consumidores de forma incompatible con sus expectativas, a menos que obtengan su consentimiento explícito. De este modo, la normativa coloca al consumidor en una posición en la que puede negociar consciente y libremente con una empresa sobre el uso que ésta hace de su información personal.
Además, la normativa propuesta establece los requisitos para la activación por el consumidor de una señal de preferencia de exclusión voluntaria (an opt-out preference signal) que se puede utilizar para excluir fácilmente la venta o el intercambio de su información personal con todas las empresas con las que interactúan en línea.
Además, con el objetivo de reforzar la privacidad de los consumidores, la normativa apoya la innovación en productos y servicios favorables a los consumidores y respetuosos con su privacidad, y ayuda a las empresas a implantar eficazmente bienes y servicios respetuosos con la privacidad. A estos efectos, tienen en cuenta cómo se aplica el derecho a la intimidad en el mercado y se basan en el desarrollo de productos y servicios que respetan la privacidad.
Por último, la normativa propuesta tiene en cuenta las leyes de privacidad de otras jurisdicciones, como la de las empresas, como el Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) en Europa y las leyes de protección de la privacidad del consumidor aprobadas recientemente en Colorado, Virginia, Connecticut y Utah para evitar su incumplimiento.
De esta manera se simplifica el cumplimiento para las empresas que operan en distintas jurisdicciones y se evita una posible confusión innecesaria a los consumidores en relación con la normativa que les es aplicable.
La Ley del derecho del público a conocer y la privacidad
Por otra parte, una propuesta de ley californiana está planteando algunas dudas sobre su compatibilidad con la normativa sobre privacidad.
Se trata de la ley sobre el derecho del público a conocer (Public Right to Know Act), una norma orientada, según se expone en su explicación de motivos, a facilitar el conocimiento público de los acuerdos privados de solución de conflictos, tan habituales en ese país.
Según se explica en la propuesta, en los tribunales de California, y en los de todo el país, el secreto sobre el contenido de estos acuerdos se ha convertido con demasiada frecuencia en la norma y no en la excepción.
La consecuencia es que el público es excluido rutinariamente del conocimiento de los datos conocidos con motivo de un litigio (el conocido como discovery), que una vez se llevó a cabo ante el tribunal. De esta manera, el poseedor de la información cuenta con un incentivo para retrasar el suministro de esa información durante un año y a menudo más. Como resultado, el derecho del público a saber se ha convertido en poco más que una moneda de cambio entre las partes enfrentadas, incluso cuando la salud y la seguridad públicas están en riesgo.
Y las consecuencias de este secretismo pueden ser mortales. Una reciente investigación de Reuters descubrió que los tribunales precintaron (es decir, impidieron el conocimiento público) pruebas relevantes para la salud y la seguridad públicas en cerca de la mitad de los 115 principales casos sobre defectos de productos de los últimos 20 años, debido a la facilidad y la tradición de mantener el secreto en casos judiciales tan complicados y costosos.
Así, las órdenes de no divulgación (nondisclosure orders) mantuvieron en secreto cerca de 32.000 quejas presentadas ante la autoridad sanitaria federal, la FDA, relativas a un dispositivo médico de control de la natalidad, que se relacionó con hemorragias crónicas, abortos espontáneos y la muerte de mujeres que utilizaron estos dispositivos antes de que fueran retirados del mercado. Y quizás lo más destructivo, se subrya, es que, durante más de una década, las órdenes de confidencialidad mantuvieron fuera de la vista del público las pruebas de que una empresa farmacéutica pasó años engañando con éxito a los médicos para que prescribieran un medicamento, minimizando a sabiendas el riesgo de adicción que suponía para los pacientes, un factor importante en una epidemia que ha matado a más de un cuarto de millón de estadounidenses.
Por eso se considera especialmente importante que California tome medidas para proteger a sus ciudadanos, tras los esfuerzos de la anterior administración federal por disminuir la eficacia de las agencias encargadas de supervisar los peligros y proteger a los consumidores, como la Comisión de Seguridad de los Productos de Consumo (Consumer Product Safety Commission) y la Administración Nacional de Seguridad del Tráfico en las Carreteras (National Highway Traffic Safety Administration), que siguen muy debilitadas en su capacidad por proteger a los consumidores.
En resumen, se señala, los californianos pagan por un sistema judicial, y esperan con razón que los tribunales tengan en cuenta el interés público cuando se les pide que consideren los acuerdos de confidencialidad y las órdenes de protección que prohíben la divulgación pública de las pruebas de los productos defectuosos o los riesgos ambientales que pueden ser peligrosos para su salud, seguridad y bienestar. Por ello, la finalidad de esta propuesta es establecer un sistema que proteja el legítimo secreto empresarial al tiempo que permite la divulgación de información relacionada con la salud y la seguridad públicas.
La idea es establecer una presunción contra el secreto en los litigios civiles en casos que impliquen un producto defectuoso o un peligro medioambiental en los que la salud y la seguridad públicas estén en especial riesgo, al tiempo que se protege razonablemente la privacidad de las adjudicaciones civiles y los secretos comerciales.
Sin embargo, según informa law.com, esta propuesta puede entrar en conflicto no tanto con la normativa californiana sobre protección de la privacidad, sino con la normativa europea, el RGPD, en especial en materia de transferencias internacionales de datos, pues el concepto de dato personal es más amplio en el marco europeo que en el californiano. Por ello, algunos expertos citados por esta publicación apuntan que esta norma sobre el derecho a conocer puede complicar las negociaciones para un nuevo acuerdo sobre transferencia de datos que sustituya el Privacy Shield.