En los Estados Unidos, muchas empresas se encuentran en una etapa inusual de cumplimiento normativo de privacidad: implementar el Reglamento general de protección de datos (GDPR) de la Unión Europea mientras se preparan para la aplicación de la Ley de privacidad del consumidor de California (CCPA). El 13 de diciembre, los académicos de Brookings Cameron Kerry y Nicol Turner-Lee se unieron a Jeff Brueggeman de AT&T, Roslyn Layton del American Enterprise Institute y Joseph Wender de la oficina del senador Ed Markey (D-MA) para discutir los efectos potenciales del GDPR y CCPA sobre empresas y consumidores de EE. UU. Y cómo ambas leyes impulsan la conversación sobre privacidad en Capitol Hill.
Cuando el RGPD entró en vigor el 25 de mayo de 2018, cambió el diálogo de privacidad para empresas y gobiernos de todo el mundo. Además de imponer nuevas limitaciones y medidas de responsabilidad a las empresas, la ley crea derechos de privacidad para que los residentes de la UE accedan, corrijan, eliminen y exporten información personal. Estas disposiciones se aplican a casi todas las organizaciones que recopilan datos de personas de la UE, incluidas las pequeñas empresas, las organizaciones sin fines de lucro, las empresas sin tecnología y las organizaciones que operan fuera de Europa, e imponen multas monetarias de hasta 20 millones de euros o el cuatro por ciento de los ingresos de una organización. ingresos anuales mundiales.
Para cumplir con el RGPD, muchas empresas adoptaron políticas de privacidad independientes en Europa y el resto del mundo. Algunas empresas, como Microsoft , optó por ofrecer protecciones GDPR en todo el mundo. Otros, incluido el Chicago Tribune y LA Times , mantuvo sus políticas de privacidad existentes, pero dejó de ofrecer servicios en Europa de forma temporal o permanente.
Al intensificar los estándares regulatorios para un número significativo de organizaciones, el GDPR ha introducido algunas preocupaciones de que los costos adicionales de cumplimiento podrían afectar de manera desproporcionada a las pequeñas y medianas empresas. Por ejemplo, investigación preliminar de grupos como IAB Europe sugiere que Google y Facebook, dos de las empresas de publicidad digital más grandes del mundo, han aumentado su participación en el mercado de publicidad digital de la UE desde mayo de 2018. Si bien la antimonopolio es un problema que probablemente cae fuera del alcance de la mayoría de las leyes de privacidad, la interacción de big data y competencia , así como cualquier efecto secundario para organizaciones e individuos, es una consideración relevante para cualquier regulación de privacidad.
La CCPA, que entrará en vigencia el 1 de enero de 2020, crea derechos para que los residentes de California accedan, corrijan, eliminen y cancelen la venta de información personal. Se aplica a todas las empresas que operan en California, pero exime a aquellas que no cumplen con los requisitos mínimos de ingresos o tamaño.
California tiene el quinta economía más grande del mundo por PIB , y para muchas empresas de EE. UU., los costos del cumplimiento de la CCPA podrían exceder los del GDPR. En agosto, el gobierno de California publicó un informe de terceros que estimado que las empresas podrían gastar colectivamente hasta $ 55 mil millones en el cumplimiento inicial de la CCPA, incluidos los costos legales, técnicos y operativos.
Sin embargo, la CCPA tiene otro efecto potencialmente más complicado: no solo induce costos de cumplimiento en California, sino que aumenta la posibilidad de que otros estados consideren una legislación de privacidad similar o competitiva. Por ejemplo, Washington introducido un proyecto de ley de privacidad integral a principios de este año, y otros estados pueden considerar una legislación adicional en 2020. En caso de que las leyes estatales difieran, las empresas que operan en varios estados pueden encontrar normas regulatorias en conflicto. En este caso, la propuesta Ley de privacidad de Washington incluye disposiciones sobre reconocimiento facial y toma de decisiones basadas en datos de las que carece actualmente la CCPA.
Durante los últimos dieciocho meses, el RGPD y la CCPA han contribuido a dar forma tanto al interés como al alcance de la legislación sobre privacidad en Capitol Hill. Algunas de estas razones son legales o prácticas: una ley federal de privacidad podría ayudar a los Estados Unidos a cumplir con los requisitos de adecuación de GDPR para transferencias internacionales de datos, y complementar o reemplazar las leyes de privacidad estatales como la CCPA. Otras razones se basan en principios o morales: el RGPD y la CCPA han ayudado a aumentar la conciencia pública sobre la recopilación y el procesamiento de datos en línea, y la legislación federal sobre privacidad podría ayudar a establecer el liderazgo de EE. UU. En materia de privacidad.
Además, el RGPD y la CCPA establecen puntos de referencia con los que el Congreso puede comparar y considerar las disposiciones de privacidad. Por ejemplo, muchos proyectos de ley federales se hacen eco del RGPD y la CCPA al incluir derechos para que las personas accedan, modifiquen, eliminen y exporten datos. Algunos también superan estos requisitos; El presidente de Comercio del Senado, Roger Wicker (R-MS) y la miembro de rango Maria Cantwell (D-WA), lanzaron recientemente propuestas de ley que imponen limitaciones más estrictas a la toma de decisiones algorítmicas, los datos biométricos y la minimización de datos, más allá de lo que ofrece la CCPA actualmente.
La forma en que Europa y California regulan la privacidad de los datos tiene enormes implicaciones para Estados Unidos; No es poca cosa que los países de la UE sean colectivamente el mayor socio comercial de EE. UU. y que California constituye aproximadamente el 14 por ciento del PIB de EE. UU. . En consecuencia, tanto el GDPR como la CCPA ofrecen pautas y lecciones a medida que el Congreso considera cómo promover los beneficios del uso de datos para el consumidor (por ejemplo, bajos costos, conveniencia, innovación y personalización) al tiempo que crea parámetros para que las empresas minimicen los riesgos de privacidad.