El Congreso de EE.UU. presentó el mes pasado un nuevo proyecto de ley federal bicameral sobre privacidad: APRA (abreviatura de American Privacy Rights Act). La propuesta ha dado mucho que hablar últimamente en el ámbito de la privacidad, pero hay una nota amarga para los expertos en marketing y tecnología publicitaria: las normas sobre publicidad dirigida son incomprensibles.
A continuación le explicamos en qué consiste la APRA, qué dice sobre la publicidad dirigida y qué opinamos de la ley en general.
- ¿Por qué es tan importante la APRA?
- ¿Qué contiene la APRA?
- ¿Qué significa el APRA para la publicidad?
- ¿Cómo es la APRA en general?
- Conclusiones
Entremos en materia.
¿Por qué es tan importante la APRA?
A día de hoy, Estados Unidos carece de una ley federal de privacidad. Esto crea una peligrosa laguna normativa y convierte la economía digital en una jungla de datos que se presta a abusos perjudiciales, como hemos visto en la pesadilla de la privacidad y los derechos humanos posterior a Dobb.
La FTC está haciendo todo lo que puede para llenar el vacío y controlar los daños, pero carece de autoridad para arreglar realmente la situación. Mientras tanto, muchos Estados se cansaron de esperar al Congreso y aprobaron sus propias leyes de privacidad, entre ellos California, sede de los gigantes de Silicon Valley.
La APRA podría colmar el vacío normativo, aportar cierto grado de uniformidad en todo Estados Unidos y promulgar algunas protecciones de la intimidad muy necesarias para los estadounidenses. Por último, pero no por ello menos importante, la ley puede tener un impacto significativo en la economía digital mundial en su conjunto, dado el peso de GAFAM y otros gigantes tecnológicos.
¿Qué contiene la APRA?
Sólo podemos ofrecer una visión muy general del APRA porque se trata de un texto legislativo muy complejo. Intentemos desglosar algunas de las cosas más importantes.
¿Cuál es el ámbito de aplicación del APRA?
El ámbito de aplicación del APRA es bastante amplio, pero no se aplica a todo el mundo ni a todo tipo de datos. Las pequeñas empresas, la Administración y los proveedores de servicios que trabajan para la Administración están exentos.
La noción de datos cubiertos es bastante amplia, no muy diferente de la noción de datos personales en el GDPR. Sin embargo, los datos de los empleados están exentos del APRA (lo cual es una elección cuestionable). Además, el APRA no sustituye a leyes más específicas como la HIPAA.
¿Qué derechos tiene?
La APRA incluye varios derechos, como el derecho de acceso a los datos cubiertos, el derecho de rectificación y supresión, la portabilidad de los datos y el derecho de exclusión voluntaria de la publicidad dirigida y la divulgación de datos.
La APRA también incluye un derecho de acción privado: puede demandar a una empresa si viola sus derechos. Esto es importante porque la tradición jurídica estadounidense tiene normas algo complicadas sobre quién puede y quién no puede demandar.
Ciertos tipos de datos cubiertos se consideran sensibles y sólo pueden divulgarse con consentimiento expreso (con algunas excepciones). La lista incluye, entre otros, datos sanitarios, información precisa de geolocalización, datos relacionados con el comportamiento sexual, el contenido de comunicaciones personales, identificadores emitidos por el gobierno como números de la seguridad social o de matrícula, y cualquier dato de un menor de 17 años.
Dos tipos específicos de datos sensibles merecen especial atención: el comportamiento de los usuarios en sitios web cruzados y los datos de comportamiento y actividad recogidos por medios sociales de "alto impacto". Estos son los datos que se suelen utilizar para el retargeting. Por lo tanto, un requisito de consentimiento explícito para la divulgación de datos es muy importante para la tecnología publicitaria.
Minimización de datos
La APRA incluye un principio de minimización de datos: el tratamiento de los datos cubiertos debe ser necesario, proporcionado y limitado. El principio viene acompañado de una lista de "fines permitidos", es decir, tipos específicos de tratamiento que respetan el principio de minimización de datos.
En la práctica, tenemos una norma amplia y una larga lista de complicadas excepciones. El resultado es un sistema muy complejo y a veces contradictorio. Con toda probabilidad, se necesitará algún tiempo y jurisprudencia para darle sentido a todo esto.
¿Qué significa el APRA para la publicidad?
Publicidad dirigida: exclusiones voluntarias y limitaciones
A primera vista, la APRA es bastante clara: la publicidad dirigida está permitida sobre la base de la exclusión voluntaria. La publicidad contextual no está sujeta al mismo requisito.
En particular, sólo se permite la publicidad basada en datos ya recogidos en virtud de la APRA. La norma aún no está clara al 100%, pero a primera vista parece que no se pueden recopilar datos únicamente con fines publicitarios. Sólo se puede hacer publicidad basada en datos que ya se controlan para un fin distinto.
Si esa es la intención, nos gusta mucho la idea. Restringir la publicidad a los datos que ya se controlan para otros fines podría limitar el acaparamiento de datos que vemos en todas partes y contribuir a reducir la huella digital sin prohibir por completo la publicidad dirigida.
Publicidad dirigida y datos sensibles
Las cosas se complican cuando se trata de datos sensibles porque no está claro cómo interactúan las normas sobre datos sensibles con las limitaciones a la publicidad dirigida:
- En general, la divulgación de datos sensibles es voluntaria, a menos que se aplique uno de varios fines específicos (art. 3(b)(1)).
- Uno de estos fines es la publicidad selectiva. La publicidad selectiva está permitida sobre una base de exclusión voluntaria, pero con la excepción de los datos sensibles (art. 3(d)(15)).
Estas normas llevan a conclusiones potencialmente contradictorias, como señalan los chicos de Bloomberg Law. Su visión de la privacidad es atroz, pero aún así hacen dos observaciones válidas: en primer lugar, tomada al pie de la letra, la APRA podría muy bien prohibir la publicidad selectiva basada en datos sensibles (lo que ellos odiarían y a nosotros nos encantaría). En segundo lugar, la ley necesita claridad.
La falta de claridad es un gran problema porque las restricciones al uso de datos sensibles se aplican a la actividad entre sitios y a los datos de comportamiento de las redes sociales, que son los que impulsan la mayoría de los anuncios dirigidos. Las normas tendrán un impacto masivo en la tecnología publicitaria, pero sería bueno saber cómo.
En pocas palabras: la publicidad selectiva basada en datos sensibles es, o bien opt-in, o directamente ilegal. Su suposición es tan buena como la nuestra.
¿Cómo es la APRA en general?
La ley tiene bastantes cosas buenas, mezcladas con algunas ideas terribles y normas poco claras.
Lo bueno
El principio de minimización de datos muestra una clara intención de superar la ficción del consentimiento y, en su lugar, dar a las empresas una lista de lo que deben y no deben hacer. Se trata de una gran idea, ya que a menudo el consentimiento se obtiene mediante cláusulas contractuales abusivas o escondiendo cláusulas turbias en la letra pequeña. Con la APRA, todo eso queda descartado.
Por cierto, la APRA prohíbe recabar el consentimiento a través de patrones oscuros, incluso en los casos concretos en los que el consentimiento sí importa. También es una buena decisión. Estamos hartos de luchar con interfaces de usuario imposibles de entender que quieren más datos sin motivo.
También nos gusta que la lista de datos sensibles sea bastante larga e incluya cosas como datos precisos de geolocalización, el contenido de la comunicación personal y la actividad en línea entre sitios. Nos gustaría que estos datos también fueran sensibles según el GDPR.
Por último, pero no por ello menos importante, la APRA protege grandes cantidades de datos sanitarios que quedan fuera del ámbito de la HIPAA. Estos datos han sido un problema importante desde la sentencia del caso Dobbs contra Jackson.
Lo malo
Muchas secciones de la APRA están exentas de acción privada, incluidas algunas normas cruciales sobre minimización de datos. En otras palabras, algunas de las normas más importantes de la APRA sólo pueden ser aplicadas por los Defensores Generales, la Comisión Federal de Comercio y otras instituciones: los ciudadanos no pueden demandar directamente.
La intención es evitar una oleada de litigios contra las empresas, lo cual es comprensible. Aun así, creemos que la exención es demasiado amplia y podría desvirtuar la ley en la práctica.
Además, como hemos mencionado, las normas sobre publicidad dirigida y datos sensibles son oscuras y contradictorias. La cosa no acaba aquí: las normas sobre datos sensibles están tan mal formuladas que pueden interpretarse como más permisivas que las normas generales en determinados supuestos. Esto no tiene ningún sentido y aumenta aún más la incertidumbre.
Por último, pero no por ello menos importante, el APRA no se aplica a los datos de los empleados. Se trata de una idea terrible porque el uso de bossware es una cuestión urgente. Si el Congreso considera que la privacidad de los empleados se aborda mejor en otra ley, que así sea, pero los trabajadores necesitan esa ley para ayer.
El fulano
Por último, está la espinosa cuestión del derecho preferente de los Estados. En pocas palabras, el derecho preferente significa que el APRA "anula" las leyes estatales de protección de la intimidad (salvo en algunos casos puntuales).
La competencia estatal es un arma de doble filo. Por un lado, la legislación estadounidense sobre privacidad es un mosaico desordenado, lo que complica su cumplimiento a las empresas que operan en todo el país. La primacía haría que las normas fueran en gran medida las mismas y aliviaría la carga del cumplimiento.
Por otro lado, algunos Estados han promulgado leyes bastante estrictas, a veces más que la APRA. No quieren que la ley federal se imponga sobre ellas y presionan para que el APRA establezca un suelo en lugar de un techo en términos de derechos de privacidad.
El problema no es nuevo. No hace mucho, el predecesor del APRA (ADPPA) se enfrentó a una feroz oposición en relación con el derecho preferente y el proyecto de ley finalmente no llegó a ninguna parte. Esperemos que esta vez el Congreso encuentre una solución, aunque implique compromisos.
Conclusiones
En relativamente poco tiempo hemos visto la prohibición de TikTok, las restricciones a la venta de datos a "adversarios extranjeros", la propuesta de APRA y la aprobación en la Cámara de Representantes de la ley 4th Amendment Is Not For Sale Act (un avance menos discutido pero bastante importante).
Aunque algunas de estas leyes son controvertidas, no se puede negar que la privacidad está ganando impulso a nivel político. Este podría ser el momento adecuado para que el Congreso sellara el acuerdo sobre una ley federal de privacidad muy necesaria. Dicho esto, todavía hay que limar las asperezas de la APRA y la cuestión de la primacía estatal puede suponer un obstáculo en las negociaciones.
Todas las miradas están puestas ahora en el Congreso. Dado el peso de EE.UU. en la economía digital, una ley federal de privacidad fuerte sería un gran paso adelante no sólo para EE.UU., sino también para la privacidad global.
Hemos creado Simple Analytics porque creemos en una web respetuosa con la privacidad. Ayudamos a nuestros clientes a entender su tráfico y a ampliar su audiencia sin recoger ni un solo dato personal. Nuestra herramienta de análisis web es fácil de aprender, personalizable y viene con un asistente de IA de la mano. Si esto le parece bien, ¡no dude en probarnos!