El desfile constante de la legislación de privacidad de datos de EE. UU. Continuó el mes pasado en Washington con la introducción de una ley mejorada que otorgaría a los residentes del estado los derechos de acceso, control, eliminación y transferencia de sus datos, así como la exclusión voluntaria de la venta de datos.

El proyecto de ley, llamado Washington Privacy Act , también mejora su versión anterior de 2019, brindando garantías más fuertes sobre el uso de la tecnología de reconocimiento facial. Según algunos analistas, en comparación con la ley de privacidad de datos de su vecino costero, la Ley de Privacidad del Consumidor de California, que entró en vigencia este año, la Ley de Privacidad de Washington se destaca.

El CEO de Future of Privacy Forum, Jules Polonetsky, calificó el proyecto de ley como «la legislación estatal más completa sobre privacidad propuesta hasta la fecha».

«Incluye disposiciones sobre minimización de datos, limitaciones de propósito, evaluaciones de riesgo de privacidad, requisitos contra la discriminación y límites en la creación de perfiles automatizados que otras leyes estatales no», dijo Polonetsky .

Introducida el 20 de enero por el senador estatal Reuven Carlyle, la Ley de Privacidad de Washington crearía nuevas responsabilidades para las compañías que manejan los datos del consumidor, incluida la implementación de procesos de protección de datos y el desarrollo y publicación de políticas de privacidad.

Ya, el proyecto de ley ha recibido una cálida recepción de actores corporativos y sin fines de lucro. Microsoft, el gigante tecnológico con sede en Washington, dijo que estaba alentado , y Consumer Reports acogió con beneplácito el impulso de la ley, al tiempo que instó a que se realicen aún más mejoras .

«Este nuevo borrador es definitivamente un paso en la dirección correcta hacia la protección de los datos personales de los residentes de Washington», dijo Justin Brookman, Director de Política de Privacidad y Tecnología del Consumidor de Consumer Reports. «Esperamos ver más mejoras para eliminar las lagunas inadvertidas que quedan en el texto».

Lo que haría la Ley de Privacidad de Washington

Al igual que las muchas facturas de privacidad de datos de EE. UU. Presentadas en los últimos 18 meses, la Ley de Privacidad de Washington aborda el problema de la falta de privacidad de datos con dos púas: mejores derechos para los consumidores, restricciones más estrictas para las empresas.

Del lado del consumidor, la Ley de Privacidad de Washington otorgaría varios derechos nuevos a los residentes de Washington, incluidos los derechos de acceso, corrección, eliminación y transferencia de sus datos. Además, los consumidores recibirían el derecho de «optar por no participar» en el uso de sus datos personales de múltiples maneras potencialmente invasivas. Los consumidores podrían decir que no a que se vendan sus datos y que se usen para «publicidad dirigida», la práctica algo inevitable que resulta en anuncios de un par de zapatos, un suéter atractivo o un televisor 4K que sigue a los usuarios de un dispositivo a otro. . 

Los consumidores pueden ejercer sus derechos con simples solicitudes a las empresas que manejan sus datos. Según el proyecto de ley, estas solicitudes requerirían una respuesta dentro de los 45 días. Si una empresa no puede cumplir ese plazo, puede solicitar una extensión, pero debe notificar al consumidor sobre la extensión y por qué no pudo cumplir con el plazo.

Además, las solicitudes no cumplidas no son un callejón sin salida para los consumidores: las empresas también deben ofrecer un proceso de apelación a los consumidores cuyas solicitudes niegan o no cumplen. Las solicitudes también deben ser respondidas de forma gratuita, hasta dos veces al año por consumidor.

Quizás una de las disposiciones más bienvenidas en el proyecto de ley son sus reglas contra la discriminación. Las empresas no pueden, según el proyecto de ley, tratar a los consumidores de manera diferente debido a sus opciones para ejercer sus derechos de privacidad de datos. En la superficie, eso hace que las ideas peligrosas como los esquemas de » pago por privacidad» sean mucho más difíciles de implementar.

Con respecto a las nuevas regulaciones comerciales, la Ley de Privacidad de Washington separa los tipos de compañías a las que se aplica en dos categorías: «controladores» y «procesadores». Los dos términos, tomados del Reglamento General de Protección de Datos (GDPR) de la Unión Europea , tienen significados simples. Los «controladores» son los tipos de entidades que realmente toman las decisiones sobre cómo se recopilan, comparten o utilizan los datos del consumidor. Entonces, ¿una pequeña empresa con un solo empleado que decide vender datos a terceros? Eso es un controlador. ¿Una gran empresa que decide recopilar datos para enviar anuncios dirigidos? Ese también es un controlador.

Los procesadores, por otro lado, son similares a los contratistas y subcontratistas que realizan servicios para los controladores. Entonces, ¿un procesador de pagos que simplemente procesa transacciones de comercio electrónico y nada más? Eso es un procesador.

Las nuevas reglas de la Ley de Privacidad de Washington se centran principalmente en los «controladores»: Facebook, Amazonas, Twitter, Google, Airbnbs y Oráculos del mundo.

Los controladores tendrían que publicar políticas de privacidad que sean «razonablemente accesibles, claras y significativas» e incluirían la siguiente información:

  • Las categorías de datos personales procesados ​​por el controlador
  • Los fines para los que se procesan las categorías de datos personales
  • Cómo y dónde los consumidores pueden ejercer sus derechos
  • Las categorías de terceros, si los hay, con quienes el controlador comparte datos personales

Si los controladores venden datos personales a terceros, o los procesan para publicidad dirigida, la factura requiere que esos controladores revelen claramente esa actividad, junto con instrucciones sobre cómo los consumidores pueden optar por no participar en esas actividades.

Por separado, los controladores tendrían que realizar «evaluaciones de protección de datos», en las que la empresa analiza, documenta y considera los riesgos de cualquier procesamiento de datos personales que implique publicidad dirigida, venta y «creación de perfiles».

La regulación del «perfil» es nueva en las facturas de privacidad de datos. Es admirable.

De acuerdo con el proyecto de ley, el «perfil» es cualquier forma de procesamiento automatizado de datos personales para «evaluar, analizar o predecir aspectos personales relacionados con la situación económica, salud, preferencia personal, intereses, confiabilidad, comportamiento, ubicación o ubicación de una persona identificada o identificable». movimientos «.

En la actual economía de publicidad en línea cada vez más invasiva, la elaboración de perfiles es omnipresente. Las empresas recopilan datos y crean «perfiles» de consumidores que, sí, pueden no incluir un nombre exacto, pero aún incluyen lo que se consideran predictores vitales sobre el estilo de vida y el comportamiento de ese consumidor. 

Estas nuevas regulaciones hacen que la Ley de Privacidad de Washington se destaque entre sus contemporáneos, dijo Stacey Gray, abogada principal del Foro Future of Privacy.

«El panorama general del proyecto de ley es que incluye los mismos derechos individuales que la Ley de Privacidad del Consumidor de California (de acceso, venta, etc.) y más», dijo Gray. «El derecho a corregir sus datos, a optar por no recibir publicidad dirigida y por la creación de perfiles, eso está más allá del lado de los derechos individuales».

Gray agregó que las obligaciones comerciales del proyecto de ley también van más allá de las de la CCPA, nombrando las evaluaciones de riesgo de datos discutidas anteriormente.

La Ley de Privacidad de Washington incluye varias obligaciones comerciales más, que se suman a protecciones significativas de datos para los consumidores. Por ejemplo, las empresas tendrían que comprometerse con los principios de minimización de datos, solo recolectando los datos personales de los consumidores que sean necesarios para fines expresos. Las compañías también necesitarían obtener el consentimiento afirmativo y de aceptación de los consumidores antes de procesar cualquier «información confidencial», que es cualquier información que pueda revelar enfermedades o diagnósticos de raza, etnia, religión, salud mental o física, orientaciones sexuales o ciudadanía e inmigración. estados.

Pero quizás lo más intrigante en la Ley de Privacidad de Washington es su regulación de la tecnología de reconocimiento facial.

Disposiciones de reconocimiento facial.

En 2019, los legisladores del estado de Washington elaboraron un proyecto de ley destinado a mejorar las protecciones de privacidad de los datos de los consumidores. Lo llamaron … la Ley de Privacidad de Washington. Ese proyecto de ley original , que ahora ha sido sustituido por la versión 2020, incluía disposiciones sobre el uso comercial del reconocimiento facial.

A primera vista, las nuevas reglas se veían bien: las empresas que usaban tecnología de reconocimiento facial para fines comerciales tendrían que obtener el consentimiento de los consumidores «antes de implementar los servicios de reconocimiento facial».

Desafortunadamente, la siguiente oración del proyecto de ley original hizo que ese consentimiento casi no tuviera sentido.

Según ese proyecto de ley, el «consentimiento» del consumidor podría obtenerse no preguntándole al consumidor si acordó que se registraran sus datos faciales, sino publicando un letrero en las instalaciones de la empresa.

Como decía el proyecto de ley:

“La colocación de un aviso visible en un local físico o en línea que transmita claramente que los servicios de reconocimiento facial se están utilizando constituye el consentimiento del consumidor para usar dichos servicios de reconocimiento facial cuando ese consumidor ingresa a esos locales o procede a usar los servicios en línea que tienen dicho aviso , siempre que exista un medio por el cual el consumidor pueda elegir entre los servicios de reconocimiento facial «.

La longitud del explicador es tan amplia como la excepción que permite.

Esta escapatoria molestó a varios defensores de los derechos de privacidad que, en febrero de 2019, enviaron una carta a los legisladores clave de Washington.

«[Aunque] el proyecto de ley supuestamente requiere el consentimiento del consumidor para el uso de la tecnología de reconocimiento facial, en realidad permite a las empresas sustituir la notificación para solicitar el consentimiento, dejando a los consumidores sin una oportunidad real de ejercer la elección o el control», dice la carta . Fue firmado por Consumer Reports, Common Sense, Electronic Frontier Foundation y Privacy Rights Clearinghouse.

El proyecto de ley 2020 cierra este vacío legal, en su lugar requiere un consentimiento afirmativo y de aceptación para el uso de reconocimiento facial comercial, junto con notificaciones obligatorias, como letreros, en espacios que usan tecnología de reconocimiento facial. El nuevo proyecto de ley también requiere que los procesadores abran sus herramientas de procesamiento de datos a investigaciones y pruebas externas, en un esfuerzo por erradicar lo que el proyecto de ley llama «diferencias de rendimiento injustas en subpoblaciones distintas», como minorías, personas discapacitadas y ancianos.

Avanzando la Ley de Privacidad de Washington

A pesar de que la Ley de Privacidad de Washington de 2019 obtuvo una rápida aprobación en el Senado dos meses después de su presentación en enero, el proyecto de ley finalmente no llegó a la Cámara. Múltiples factores llevaron al fracaso del proyecto de ley, incluidas las definiciones del proyecto de ley para ciertos términos, su enfoque para la aplicación y su tratamiento del reconocimiento facial.

Gray dijo que algunos de esos mismos obstáculos podrían surgir para el proyecto de ley 2020.

«Si este proyecto de ley no se aprueba este año, es allí donde podríamos ver una fuente de conflicto, ya sea con las disposiciones de reconocimiento facial o con la aplicación», dijo Gray. Para que se imponga la ejecución, Gray dijo que la oficina del Fiscal General, encargada de la regulación, necesitará una mayor financiación y personal. Además, es probable que haya oposición a la falta de «derecho de acción privado» del proyecto de ley, lo que significa que los consumidores no podrán presentar demandas individuales contra las compañías que, según alegan, violaron la ley. Este problema ha sido un punto de conflicto para la legislación de privacidad de datos durante años .

Aún así, dijo Gray, el proyecto de ley muestra una mejora con respecto a su versión 2019, lo que podría ayudar a impulsarlo.

«Aparte de todo», dijo Gray, «somos más optimistas que el año pasado sobre su aprobación».