Ha pasado algo más de un año desde que portavoces de Google, Amazon o Twitter expresaran su intuición acerca de una posible ley de privacidad que regulase Estados Unidos, similar a cómo actúa el Reglamento General de Protección de Datos (RGPD) en los países europeos. Y ese momento, el de contar con una ley federal, parece estar más cerca que nunca.
El pasado miércoles 20 de julio, el Comité de Comercio y Energía del Congreso aprobó por 53 votos a favor y tan solo 2 en contra la llamada Ley de Protección y Privacidad de Datos Americana (ADPPA, por sus siglas en inglés), una norma que aspira a regular la recogida y uso de los datos de los usuarios por parte de las organizaciones en el terreno digital.
Entre los aspectos que recoge la norma, se establece como requisito básico la recogida y uso de datos de los estrictamente necesarios y de forma proporcionada y limitada, además de protecciones especiales para ciertos tipos de información, como los datos de geolocalización, los biométricos o las imágenes íntimas no consensuadas.
Las empresas deberán, asimismo, informar del tipo de datos que recogen, para qué los usan, cómo los retienen y si los dejan accesibles a la República Popular China, Rusia, Irán o Corea del Norte. Y adoptar prácticas de seguridad y procedimientos, que varían en función de su tamaño y actividades, para garantizar que la información de los usuarios no acabe en manos equivocadas.
Respecto a los derechos de los consumidores, otorga el derecho a acceder, corregir y borrar la información que poseen de ellos una determinada compañía, poder objetar sobre el uso de sus datos para recibir publicidad personalizada o la cesión de estos a un tercero. Las empresas, por su parte, deberán contar con el consentimiento afirmativo y expreso de los usuarios antes de aprovechar información sensible. En ningún caso podrá emplearse información concerniente a raza, género u orientación sexual de un individuo, ni lanzar campañas de publicidad segmentada a menores de 17 años.
A aquellas compañías que dispongan de grandes cantidades de información deberán, de igual modo, realizar evaluaciones sobre el funcionamiento de sus algoritmos donde se incluirían los pasos que dan para mitigar los daños potenciales que resultan de dichos algoritmos y presentarlos ante la Comisión Federal de Comercio (FTC).
Las obligaciones contempladas en el borrador conceden a las pequeñas y medianas empresas ciertas excepciones respecto al uso de datos personales, como por ejemplo, borrar los datos del usuario cuando este le pide una corrección.
Objeciones desde IAB
Desde IAB ya han advertido de los requisitos más estrictos que impone la ley estadounidense en protección de datos, “más punitiva que las regulaciones europeas”, en palabras de Lartease Tiffith, vicepresidente ejecutivo de política pública de IAB.
“La norma aprobada por el Comité de Comercio y Energía del Congreso impondrá regulaciones más duras que cualquier otro estado hace actualmente. La aplicación redundante podría llevar a multas y penas más grandes”, señala, y recuerda que en los últimos cinco años, la industria de internet apoyada con publicidad ha creado más de 17 millones de trabajos, un dato que podría contraerse.
“No solo las compañías de publicidad, sino todo aquel que depende de los datos para triunfar en la economía de hoy, incluyendo el usuario medio de internet que disfruta de la velocidad y la conveniencia, se topará con un ecosistema online menos amigable”, y subraya que en su redacción actual, no es posible aprobarla.
Aunque no existe un calendario, el próximo paso de la norma, en la que se recogen las diferencias existentes entre las cinco leyes estatales que ya regulan la privacidad de los usuarios en internet – California, Colorado, Utah, Connecticut y Virginia-, será su aprobación en el pleno del Congreso y, más tarde, la del Senado. Desde el propio comité son conscientes, no obstante, de que todavía existen figuras clave que deberán aprobar la norma y, por tanto, el texto podría contar con futuros cambios.