Nota del editor: WRAL TechWire lanzó recientemente una serie de 5 partes sobre la ley de privacidad de datos para aportar algo de claridad a una de las áreas más complejas y de más rápido crecimiento de la ley tecnológica. Esta es la parte 3. Las publicaciones anteriores están incrustadas en esta historia.

Steve Britt es consejero de cibernética, privacidad de datos y tecnología (CIPP/E, CIPM), Parker Poe y Sarah Hutchins es socia de cibernética, privacidad de datos y tecnología (CIPP/US), Parker Poe.

+ + +

Así como California fue el primer estado en promulgar una ley de notificación de violación de datos en 2002 (Alabama fue el 50^th estado en 2018), fue el primer estado en promulgar una ley integral de privacidad de datos en 2020, conocida como la Ley de Privacidad del Consumidor de California (CCPA). Utilizando el RGPD como guía, pero poniendo su propio sello en el resultado final, California compartió muchos elementos en común con el RGPD, entre ellos:

• Una definición amplia de Información Personal, para incluir cualquier información que se relacione o pueda usarse para identificar a una persona física, incluidas las direcciones IP (protocolo de Internet), los datos del dispositivo y otros identificadores en línea,
• Adopción de la mayoría (pero no todos) de los derechos de los sujetos de datos de GDPR, sujeto a explicaciones claras y transparentes de cómo se pueden ejercer esos derechos,
• El requisito de avisos de privacidad detallados sobre qué datos se recopilan, los propósitos de dicha recopilación y si se comparten con terceros,
• El requisito de contratos restrictivos para ciertos tipos de terceros con los que se comparten los datos,
• Imposición de estándares de seguridad de datos basados ​​en el riesgo,
• El requisito de una formación integral de los empleados para todo el personal que maneje información personal,
• Una causa de acción privada limitada por una violación de datos que resulte de la falta de seguridad de datos razonable con daños legales de $100-$750 por consumidor por incidente en tales acciones y, finalmente,
• Cumplimiento de la CCPA por parte de una agencia gubernamental, en este caso, el Fiscal General de California.

Privacidad de datos y usted: lo que realmente necesita saber desde un punto de vista legal

En el momento de su promulgación, la CCPA se denominaba RGPD-Lite, pero eso solo era cierto en un sentido conceptual, ya que la CCPA difería del RGPD en algunos aspectos significativos. Por ejemplo, CCPA:

• No se aplicó a organizaciones gubernamentales o sin fines de lucro y empleados exentos y contactos de empresa a empresa (B2B) durante 3 años,
• Solo se aplica a las empresas con fines de lucro que hacen negocios en California que, junto con los afiliados de marca común, tuvieron ingresos anuales globales de $ 25,000,000 o más, procesaron datos de al menos 50,000 consumidores (incluidos sus dispositivos) o recibieron el 50% de sus ingresos de la venta de información personal,
• Otorgó una causa de acción privada por daños y perjuicios por una violación de datos que resultó de la falta de seguridad adecuada de los datos (14 estados ahora permiten una causa de acción privada en sus leyes de notificación de violación de datos),
• Entidades excluidas reguladas por Gramm-Leach-Bliley, la Ley de informes crediticios justos, la Ley de protección de la privacidad del conductor y la información regulada por la Ley de portabilidad y responsabilidad de seguros médicos (HIPAA),
• Se requiere un botón web en la página de inicio de una empresa con la etiqueta "No Venda Mi Información Personal” para transferir información personal a un tercero que no calificó como un “proveedor de servicios”,
• Definió como una “venta” de datos cualquier transferencia por “contraprestación no monetaria” que capturó tecnología publicitaria y proveedores de tecnología de marketing, y
• No requería ventanas emergentes de cookies ni consentimiento afirmativo para comunicaciones de marketing.

Opinión de los invitados: Reglamento General de Protección de Datos, o GDPR: donde comenzó todo

Sin embargo, a pesar del alcance de la CCPA, antes de que la tinta se secara, en noviembre de 2020, California promulgó la Ley de Derechos de Privacidad de California (CPRA) por iniciativa electoral, a partir del 1 de enero de 2023. La CPRA modificó la CCPA y la amplió en varias maneras significativas. Por ejemplo, CPRA:

• Aumentó el desencadenante jurisdiccional en CCPA para la recopilación de datos sobre 100,000 consumidores (en lugar de 50,000) y eliminó la cobertura de los "dispositivos" de un consumidor.
• Se excluyeron los afiliados de marca común en la definición de negocios cubiertos, a menos que el negocio de California realmente haya compartido la información personal de los californianos con su afiliado,
• Incluyó una nueva categoría de información personal llamada "información confidencial" y amplió el derecho de exclusión voluntaria para cubrir dichos datos,
• Creó una categoría de divulgación de datos por parte de terceros llamada "compartir" y amplió el botón "No vender" a "No vender ni compartir mi información personal".
• Amplió sus derechos de datos para cubrir a los empleados de una empresa y contactos de empresa a empresa (B2B), y
• Creó el primer regulador de privacidad de datos estatal dedicado en la nación (llamado la Agencia de Protección de Privacidad de California) con amplios poderes regulatorios, incluidas 22 nuevas áreas para posibles nuevas regulaciones.

Los amplios poderes de la Agencia de Protección de la Privacidad de California (CPPA) no deben pasarse por alto, especialmente porque la CCPA ya ha sido objeto de cuatro rondas de regulaciones del Fiscal General, en algunos casos imponiendo reglas más allá de lo dispuesto en el estatuto. Además, la causa de acción privada de California y, en algunas otras jurisdicciones, la posibilidad de litigio en virtud de las leyes de violación de datos ha aumentado exponencialmente los riesgos relacionados con la gestión de datos.

La complejidad de la CCPA, modificada por la CPRA, ya rivaliza con el RGPD, pero tanto California como la Unión Europea han expresado el objetivo de trabajar juntos en las restricciones de transferencias transfronterizas y una serie de otras iniciativas de la UE. Mientras tanto, como veremos en nuestro próximo artículo, otros estados de EE. UU. están siguiendo el ejemplo de California.

steve britt, CIPP/E, CIPM, es un abogado especializado en cibernética, privacidad de datos y tecnología en el bufete de abogados Parker Poe. Centra su práctica en leyes y regulaciones de ciberseguridad y privacidad de datos. Britt asesora a sus clientes sobre toda la gama de leyes de protección de datos. Él puede ser contactado en stevebritt@parkerpoe.com.

sarah hutchins, CIPP/US, es un abogado especializado en cibernética, privacidad de datos y tecnología en el bufete de abogados Parker Poe. Ella ayuda a los clientes a navegar en litigios comerciales, investigaciones gubernamentales y privacidad de datos y ciberseguridad. Hutchins puede ser contactado en sarahhutchins@parkerpoe.com.