Ley de Supresión: todo lo que debe saber

El 10 de octubre, el Estado de California adoptó la Delete Act, una nueva ley que permite a los residentes de California exigir simultáneamente a todos los intermediarios de datos que eliminen su información personal. Es probable que la Ley afecte profundamente a las prácticas de privacidad dentro y fuera del Estado. Veamos en qué consiste esta ley.

Michelin chose Simple AnalyticsJoin them

¿Qué es la Ley Delete?

La Ley de Supresión es una nueva ley de California sobre el derecho a que sus datos sean eliminados de los corredores de datos. La Ley Delete será aplicada por la Agencia de Protección de la Privacidad de California (CPPA).

¿No tenían ya los californianos derecho a la supresión?

Sí, los residentes en California tienen derecho a la supresión en virtud de la CCPA. Pero hay dos problemas cuando se trata de los corredores de datos.

En primer lugar, no está claro si pueden ejercer ese derecho contra los corredores de datos sobre la base de la redacción de la CCPA. En segundo lugar, suponiendo que puedan, solicitar a los corredores de datos que supriman la información personal seguiría siendo difícil en la práctica. Muchos corredores diferentes suelen controlar la información sobre un mismo consumidor, y los consumidores no suelen saber quiénes son esos corredores ni cómo ponerse en contacto con ellos.

En resumen, el derecho de supresión introducido por la Ley Delete no es nuevo en la legislación de California, pero la Ley facilita mucho a los consumidores su ejercicio frente a los corredores de datos.

¿Cómo funciona la Ley Delete?

El sistema de supresión descrito por la Ley consistirá en un registro unificado de solicitudes de supresión. Los corredores de datos deberán acceder periódicamente al sistema y revisar sus bases de datos para asegurarse de que no contienen datos sobre los sujetos que presentaron una solicitud.

Los corredores de datos también tendrán otras obligaciones, como documentar el cumplimiento de las solicitudes de supresión y auditar los resultados de sus procedimientos para atender las solicitudes.

La Ley de Supresión es imprecisa en cuanto a los tecnicismos del sistema y pide a la CPPA que solucione los problemas en su futura regulación. Según la ley, el sistema debe estar en funcionamiento a más tardar en 2026. Con toda probabilidad, la planificación del sistema no será un paseo para la CCPA... ¡ni su puesta en marcha lo será para las empresas!

¿En qué se diferencia la Ley Delete de otras leyes?

La Ley de Supresión es una ley innovadora. Leyes de privacidad como el GDPR y la propia CCPA de California enmarcan el derecho de supresión como un asunto entre un individuo y una empresa u organización específica. En cambio, la Ley de Supresión amplía el alcance de una única solicitud a todos los intermediarios de datos. Este sistema difiere de las típicas solicitudes de supresión y se asemeja más a una especie de registro de "no llamar".

La Ley de Supresión también difiere de otras leyes de privacidad en que las solicitudes también afectan a cualquier dato recogido después de la presentación. Un intermediario de datos no puede limitarse a borrar sus datos y dar por zanjada la cuestión; debe revisar periódicamente su base de datos y borrar cualquier dato nuevo sobre usted. Se requiere un proceso continuo de revisión y borrado.

¿A quién se aplica la Ley?

Por un lado, la Ley se aplica a los residentes en California, al igual que la CCPA. Nadie más puede presentar una solicitud en virtud de la Ley.

En el otro lado de la ecuación, la Ley se aplica a los corredores de datos. La ley define a los corredores de datos como cualquier empresa que , a sabiendas, recopila y vende información de consumidores con los que la empresa no tiene relación directa. Así pues, los corredores de datos actúan esencialmente como intermediarios, adquiriendo información personal sobre los consumidores a través de un tercero y vendiéndola a otro tercero.

Cabe señalar que la Ley utiliza la misma definición amplia de venta de datos que la CCPA/CPRA. La divulgación de datos de consumidores a cambio de algo valioso se considerará probablemente una venta, haya o no pago monetario de por medio. Esto significa que la Ley puede aplicarse a muchos intermediarios del sector publicitario, dependiendo de cómo entiendan la definición los reguladores.

Aún no está claro si la definición de intermediario de datos abarca también a las empresas que compran o reciben datos de intermediarios, es decir, los clientes de los intermediarios de datos. Este punto, aún poco claro, es crucial, ya que muchas empresas (incluidas las más pequeñas) enriquecen los datos de sus clientes con información de terceros. Es de esperar que la futura normativa de la CCPA lo aclare.

Una cosa está clara, sin embargo: al igual que la CCPA, la Ley de Supresión también se aplicará a los corredores de datos fuera de California, e incluso fuera de los EE.UU..

Como nota al margen, cabe destacar que California cuenta con un registro de corredores de datos, y que el registro era obligatorio incluso antes de la Ley de datos. Esto podría facilitar la aplicación, ya que la CCPA sabrá quiénes son los corredores de datos y cómo ponerse en contacto con ellos.

¿Existen excepciones a la Ley de Supresión?

Sí. Al igual que la CCPA, la Ley de Supresión no se aplica a las empresas que están sujetas a una normativa sectorial específica (como la HIPAA para el sector sanitario).

¿Cuáles son las sanciones previstas en la Ley de Supresión?

Los corredores de datos pueden ser multados con ** 200 dólares por cada día** que no atiendan una solicitud de supresión. Los corredores de datos también pueden ser multados en virtud de leyes preexistentes de California por no inscribirse en el registro de corredores de datos.

¿Qué repercusiones tendrá la Ley de Supresión?

La Ley de Supresión tendrá probablemente un gran impacto en el sector de la publicidad y en otros sectores que dependen en gran medida de los intermediarios de datos (como la detección del fraude). Para cumplir la ley, las empresas deberán establecer nuevos procedimientos y revisar periódicamente sus bases de datos para recuperar los datos que deban suprimir.

Es probable que esto incremente los costes legales y operativos en no poca medida. Además, exigirá que las empresas apliquen sólidas prácticas de gobernanza de datos, si aún no lo han hecho, para facilitar el filtrado de las bases de datos y la recuperación de la información que debe suprimirse.

Por último, cabe señalar que los intermediarios de datos deben verificar las solicitudes de supresión. En otras palabras, los corredores tienen que asegurarse de que los consumidores son quienes dicen ser y averiguar exactamente qué información personal de sus bases de datos se refiere a ellos.

Esto será complicado porque los corredores de datos a veces no recogen identificadores directos que permitan una verificación fácil. Sería prudente que las empresas establecieran procedimientos de verificación sólidos antes de que empiecen a llegar las solicitudes y que estuvieran atentas a la CPPA para cualquier orientación sobre la verificación.

Conclusión

Es pronto para saber hasta qué punto la Ley de Supresión afectará a la economía digital. Sin embargo, está claro que dificultará el cumplimiento a los intermediarios de datos. Las empresas cubiertas por la Ley deben pensar en el futuro y empezar a prepararse inmediatamente para cumplir sus obligaciones.

Nos apasiona la privacidad. Es un derecho humano, y uno cada día más importante a medida que el mundo está más y más interconectado.

Por eso hemos creado Simple Analytics. Nuestra herramienta, que da prioridad a la privacidad, permite a nuestros clientes obtener toda la información que necesitan de una forma ética y respetuosa con la privacidad. Simple Analytics proporciona información precisa sin cookies, sin rastreadores y sin recopilar ni un solo dato personal. Si esto le parece bien, no dude en probarlo.