En noviembre, los californianos aprobaron una medida electoral, la Proposición 24, también conocida como Ley de Derechos de Privacidad de California (CPRA), para crear una nueva agencia de privacidad de datos de los consumidores. Esto sitúa a California un paso más allá de otros estados en cuanto a la producción de privacidad para los consumidores y los requisitos de seguridad de los datos para las empresas. California ya contaba con una ley de privacidad, la California Consumer Privacy Act (CCPA), aprobada en 2018. Entró en vigor en enero de 2020, y su aplicación comenzó oficialmente el pasado mes de julio.

La CCPA debía ayudar a evitar que California aprobara una iniciativa de privacidad más estricta a través de las urnas. «La CCPA es probablemente una de las principales leyes de privacidad de EE.UU. que protege a los consumidores en la actualidad», afirma Christophe Bertrand, analista de Enterprise Strategy Group, pero en un principio iba a ser más restrictiva. «Fue el producto de muchas negociaciones políticas que debilitaron el producto final»

Eso no va a ocurrir con la nueva ley. Una vez aprobada, sólo se puede reforzar, no debilitar. Sí se aprobó. La CPRA fue aprobada por los votantes por un 56% contra un 44%.

Sorprendentemente, no hubo mucha presión contra la iniciativa electoral por parte de las grandes empresas tecnológicas. «Creo que parte de ello es el incendio de 2020 y la pandemia y el período previo a las elecciones», dice Jessica Lee, socia de Loeb & Loeb y copresidenta de la práctica de privacidad y seguridad de la firma. «Han ocurrido muchas cosas al mismo tiempo. Además, en los últimos dos años hemos tenido una reacción contra las grandes empresas tecnológicas y muchos escándalos de privacidad. Así que, para que una empresa tecnológica se manifieste en contra de un proyecto de ley de privacidad, probablemente haya algunas consideraciones de relaciones públicas y de marca».

Además, las empresas más grandes ya deben cumplir con el Reglamento General de Protección de Datos (GDPR) de Europa. «No es que sea una propuesta aplastante para muchas de las grandes empresas», dice.

La CPRA endurece algunos requisitos, reduce el riesgo en otras partes

La CPRA endurece algunos requisitos, pone a California más en línea con el GDPR y crea una nueva agencia estatal: la Agencia de Protección de la Privacidad de California. Anteriormente, el fiscal general del estado se ocupaba de las cuestiones relacionadas con la privacidad de los consumidores, además de todas sus otras responsabilidades. La privacidad de los datos ahora recibe una agencia dedicada con un presupuesto básico de 10 millones de dólares, además de que también obtendrá parte de las multas y acuerdos que recaude de las empresas que incumplan la ley.

La ley entra en vigor el 1 de enero de 2023, dice Lee, y su aplicación comenzará seis meses después. «Las empresas tienen esencialmente dos años para prepararse», dice.

Esos dos años podrían traer cambios que resulten en un escrutinio adicional, sanciones y actividades de aplicación, dice Orson Lucas, director de servicios de ciberseguridad en KPMG. Eso podría ser el resultado de la evolución del panorama tecnológico y empresarial o de otros desarrollos. «Por ejemplo, si hay una serie de violaciones sustanciales entre ahora y enero de 2023», dice.

Un par de aspectos de la CCPA reducirán los riesgos y responsabilidades potenciales de las empresas. En primer lugar, la CCPA se aplica a las empresas que dan servicio a un mínimo de 50.000 residentes, hogares o dispositivos de California. La CPRA eleva esta cifra a 100.000 y elimina los «dispositivos» de esa lista, dice Catherine Lyle, jefa de reclamaciones de Coalition, una compañía de ciberseguros. Las empresas no serán responsables de las violaciones de la CPRA cometidas por terceros si existen ciertos acuerdos y el propio socio comercial cumple con la CPRA, dice. «Podría reducir su responsabilidad potencial».

El impacto de la CPRA es mínimo para las empresas preparadas

Para las empresas que ya cumplen con la CCPA de 2018 -y especialmente con el GDPR de Europa- los cambios serán menores. Ese es el caso de Branch Metrics a, empresa global de marketing online que cuenta con Airbnb, Target y Yelp entre sus miles de clientes empresariales. La empresa procesa miles de millones de registros de consumidores, lo que la sitúa directamente en el punto de mira de la ley.

«Una de las cosas buenas de la CPRA es que, en cierto modo, se alinea más estrechamente con el GDPR que la CCPA», dice el director general de Branch Metrics, Alex Austin. «Por lo tanto, es menos pesado si su empresa se ha preparado para el GDPR». Eso significa que los cambios incrementales que tendrá que hacer para cumplir con la CCPA serán «relativamente menores», dice. «También ayuda el hecho de que tenemos mucho tiempo para hacer cualquier cambio requerido», añade. «La ley no entra en vigor hasta 2023, y en general sólo afecta a los datos que se remontan a 2022, lo que significa más de un año para poner la casa en orden».

En general, dice Austin, cuanta más armonización entre las diversas leyes de privacidad que surgen en todo el mundo, mejor. «Para las empresas que operan a nivel mundial, como Branch, cualquier alineación más estrecha es algo bueno».

Nuevos requisitos de minimización de datos

Para algunas empresas, los cambios entre la CCPA y la CPRA serán significativos, dice Dan Frank, líder de privacidad y protección de datos en EE.UU. de Deloitte. Por ejemplo, la minimización de datos. Las nuevas normas prohíben a las empresas conservar la información personal «más tiempo del absolutamente necesario», dice. Eso es un problema, ya que cuando se trata de eliminar datos, las empresas lo evitan como la peste, dice. «Algunos datos son buenos, más datos son mejores, todos los datos son mejores». Los datos pueden ser analizados por sistemas de aprendizaje automático e IA y pueden ayudar a las empresas a desarrollar nuevos productos, servicios y aplicaciones.

El borrado de datos es un tema espinoso. En primer lugar, hay retenciones legales y otros requisitos normativos y de cumplimiento para conservar los datos. Luego está el aspecto técnico. «Hay todas esas interdependencias que existen entre los sistemas y que hacen que la eliminación de datos dé miedo», dice. «No queremos romper nada».

Lo que la mayoría de las organizaciones planean hacer es anonimizar los datos caducados, dice Frank. De esa manera, todavía se puede utilizar para entrenar los sistemas de IA y puede crear menos problemas de dependencia. «Veremos cómo funciona esto a largo plazo», dice. «Si esos datos pueden atribuirse de alguna manera a un individuo -directamente o por inferencia- entonces ya no son anónimos. El uso que hace la ley de la palabra «razonable» es también una señal de alarma. ¿Quién decide lo que es razonable? Un sistema sólido de gestión de datos también puede ayudar a las empresas a abordar otro aspecto de la nueva ley: permitir que los consumidores corrijan los datos inexactos sobre ellos mismos.

«Esto supone un reto si una empresa no ha racionalizado realmente su gestión de datos maestros y no tiene un registro de oro de esos datos», dice Angela Saverice-Rohan, líder de privacidad en América de Ernst & Young. «Si cambias ciertos datos en un sistema, ¿cómo afectará eso a todos tus otros procesos?»

Nuevos requisitos para compartir datos

Las empresas ahora también tendrán que asegurarse de que cualquier socio comercial con el que compartan datos también cumpla con la CPRA. Dado que parte de la ley implica contar con medidas razonables de ciberseguridad, es posible que los CISO tengan que involucrarse, dice Saverice-Rohan. «Este es un trabajo que normalmente se realiza durante las evaluaciones de riesgos de seguridad», dice.

Otro gran cambio tiene que ver con la forma en que los consumidores permiten que se comparta su información. Con la anterior CCPA, las empresas tenían que ofrecer a los clientes de California la oportunidad de optar por no vender sus datos a terceros. Ahora, eso incluye todo tipo de intercambio, no sólo las ventas, dice Frank de Deloitte. «Los consumidores tienen que poder excluirse de determinados usos de la información personal», afirma. «Si lo hacen, hay que poder dejar de utilizarla, lo cual, si se piensa bien, es una tarea bastante ardua. Esto hace que la gobernanza de los datos sea tan crítica. Va a requerir una gestión del consentimiento muy detallada».

Mayor exposición a la responsabilidad por las violaciones de datos

Otra diferencia es que las empresas tendrán preocupaciones adicionales por las violaciones de datos, dice Frank. Por ejemplo, la responsabilidad por violación de datos cubre ahora las direcciones de correo electrónico cuando se utilizan en combinación con una pregunta de seguridad. Si una violación de datos implica información sobre menores, las multas pueden triplicarse. «Es mejor saber qué información se tiene sobre los niños y aplicar una mayor protección de los datos en caso de que se vea comprometida», afirma.

Tanto la ley original de la CCPA como la nueva CPRA permiten a los consumidores individuales demandar a las empresas tras una violación de datos. Ahora la gente tendrá más razones potenciales para presentar estas demandas, dice. «La CPRA también amplía el potencial de demandas relacionadas con la violación de datos de otra manera, según Alan Friel, socio del bufete de abogados BakerHostetler. Con la CCPA, las empresas tenían un plazo para solucionar los problemas después de que los consumidores presentaran una queja, dice. La ley era un poco confusa en cuanto a qué tipo de problemas se podían «subsanar» de este modo.

Ahora, la CPRA aclara que el derecho a subsanar no incluye la posibilidad de evitar sanciones tapando agujeros de seguridad después de que se haya producido una infracción. «Si no mantienes la seguridad adecuada, y tienes una brecha, y luego remedias lo que causó esa brecha, todavía estás sujeto al derecho de acción privada y a los daños estatutarios», dice Friel. «Otro cambio es que los consumidores ya no tienen que demostrar que se han visto perjudicados por una infracción. «Antes se podía demandar, pero había que demostrar el daño», dice Friel.

BakerHostetler defiende actualmente a las empresas contra varias demandas relacionadas con la privacidad en California. «Tuvimos mucho más éxito a la hora de desestimar las demandas en las que existía un criterio de perjuicio», afirma Friel. «La mayoría de los consumidores no pueden demostrar un daño monetario real por una violación de datos, que es la razón por la que reciben un control de crédito gratuito. Son los bancos y los minoristas los que acaban pagando los costes de su bolsillo; los consumidores, por lo general, no tanto». El cambio de juego aquí es que el mero hecho de que se haya producido la violación es un daño suficiente para presentar una demanda».

Espera más demandas relacionadas con la privacidad

Las empresas ya han empezado a ver demandas relacionadas con la privacidad. El mes pasado, el minorista de ropa infantil Hanna Andersson acordó un acuerdo de 400.000 dólares en respuesta a una demanda colectiva derivada de una violación de datos de 2019. Otras empresas que ya han sido demandadas en virtud de la CCPA son Salesforce, Walmart, el minorista de papelería en línea Minted, Sunshine Behavioral Health Group, TikTok, Zoom y Houseparty.

No solo los consumidores y sus abogados tendrán que defenderse de las empresas, dice Saverice-Rohan, de Ernst & Young. Aunque la CPRA en sí no entrará en vigor hasta 2023, se espera que la nueva agencia se ponga a trabajar de inmediato, aplicando las leyes existentes. «En enero, la nueva agencia tendrá la capacidad de hacer cumplir la CPRA existente», dice. «Y buscarán acciones. La aplicación no es sólo probable. Es inminente, y ocurrirá en 2021».

Las empresas de tamaño medio se verán especialmente afectadas, predice Benjamin Wright, abogado estadounidense e instructor principal del SANS Institute. Para las empresas con menos de 25 millones de dólares en revisiones anuales, los requisitos son menos onerosos, dice. «Las empresas gigantes pueden lanzar ejércitos de abogados y profesionales del cumplimiento en las disputas». Las empresas de nivel medio no tienen los tipos de economías de escala que les permitirían contratar ejércitos de abogados, dice.

Además, dependiendo de cuánto apoyo obtenga la nueva agencia de otros funcionarios y legisladores de California, podría no tener los recursos o el talento para ir tras los objetivos más grandes. Esto ya está sucediendo en Europa bajo el GDPR, dice Wright, con los reguladores a menudo más propensos a iniciar acciones contra las empresas más pequeñas y medianas.

«Las empresas gigantes pueden luchar durante años en los tribunales, ya sea en Europa o en California», dice Wright. «Para los reguladores, es muy agotador y costoso luchar contra las demandas durante años. Una agencia débil que lucha durante años contra un adversario poderoso puede sufrir una gran rotación de personal».

Oportunidades para que las empresas cumplan con la CPRA

La CPRA no es del todo mala para las empresas. «Espere que las empresas inteligentes traten de aprovechar esto como una oportunidad para demostrar su cumplimiento y apoyo a la privacidad», dice Steve Durbin, director gerente del Foro de Seguridad de la Información.