Sephora y la CCPA, nuevas violaciones de la privacidad

December 05, 2024 | 5 minutes read
Sephora y la CCPA, nuevas violaciones de la privacidad

El 27 de agosto de 2022, la multinacional francesa de venta de productos de belleza Sephora fue condenada a pagar 1,2 millones de dólares para resolver una demanda por violación de la Ley de Privacidad del Consumidor de California (CCPA). Según los documentos presentados ante el Tribunal Superior del Estado de California, la empresa habría “concedido a terceras empresas, incluidas redes publicitarias y proveedores de análisis de datos, acceso a las actividades en línea de sus clientes a cambio de servicios publicitarios o analíticos. Esto supuestamente permitió a estos terceros crear perfiles de los internautas rastreando si, por ejemplo, utilizaban un MacBook o un Dell, la marca de delineador de ojos que compraban o incluso qué vitaminas prenatales añadían a su cesta de la compra en línea, así como su ubicación exacta”.

Hasta este punto, las disposiciones de la CCPA establecen que los consumidores del estado de California conservan el derecho a optar por la venta de cualquier información personal que hayan facilitado a un minorista como Sephora. Por consiguiente, las acusaciones dirigidas contra la empresa constituirían efectivamente una violación de la CCPA, ya que el minorista de belleza no obtuvo el consentimiento de los clientes de Sephora antes de utilizar sus datos personales para impulsar campañas publicitarias dirigidas. Por otra parte, un portavoz de Sephora respondió a estas acusaciones afirmando que la empresa “respeta la privacidad de los consumidores y se esfuerza por ser transparente sobre cómo se utiliza su información personal para mejorar su experiencia en Sephora”, al tiempo que afirmaba que “Sephora utiliza los datos estrictamente para las experiencias de Sephora.”

Aplicación de la CCPA

Aunque la CCPA se promulgó hace casi cuatro años en 2018, las sanciones civiles que se impusieron al minorista de belleza Sephora el pasado sábado significaron el primer caso de tales medidas punitivas impuestas contra una empresa que se encontró que había violado la ley. Con este fin, el Fiscal General de California, Rob Bonta, ha declarado que él y su oficina han pasado el último año investigando las empresas que operan en el estado en un intento de garantizar que estas empresas se adhieran a las disposiciones establecidas en la CCPA. Del mismo modo, estos hallazgos descubrieron que Sephora había sido incoherente con las formas en que realmente estaban protegiendo a los consumidores frente a lo que la empresa ha declarado públicamente.

Más concretamente, se ha citado a Bonta diciendo que “el Estado utilizó extensiones del navegador para supervisar el tráfico de la red que implicaba publicidad de terceros y proveedores de análisis cuando se visitaba la punto-com de Sephora, y luego observó cómo cambiaba ese tráfico cuando los consumidores activaban el Control Global de Privacidad (GPC) – esencialmente diciéndole a Sephora: no vendas mi información. Según el documento judicial, el sitio de Sephora ignoró esa señal”. A modo de referencia, las disposiciones de la CCPA obligan a las empresas a respetar las opciones de los consumidores en lo que respecta a la recogida, tratamiento, conservación, venta o transferencia de su información personal, independientemente de la forma en que comuniquen estas preferencias a una empresa como Sephora al navegar por un sitio web en línea.

Protección de datos en Estados Unidos

A pesar de que numerosos estados de todo el país han aprobado en los últimos años leyes exhaustivas de protección de datos, como la Ley de Protección de Datos de los Consumidores de Virginia (VCDPA) y la Ley de Privacidad de Colorado, entre otras, se han impuesto muy pocas decisiones coercitivas contra empresas u organizaciones que hayan incumplido dicha legislación, ya que reunir las pruebas necesarias para investigar con éxito a una gran empresa como Sephora obviamente llevará algún tiempo. No obstante, la forma en que el fiscal general de California, Rob Bonta, investigó sistemáticamente a las empresas de su estado podría servir de modelo a otros estados para reducir las violaciones de la privacidad de los datos en sus propias jurisdicciones.

Control mundial de la privacidad

Además, el papel que ha desempeñado el Control Global de la Privacidad en la decisión del fiscal general de California, Rob Bonta, también puede influir en la forma en que las grandes empresas se relacionan con los consumidores a través de sus respectivos sitios web. Según Stephanie Liu, analista de Forrester Research, “el Control Global de la Privacidad es una idea desde hace un par de años y aún no se ha adoptado de forma generalizada; por ejemplo, no está en Google Chrome. Esto indica claramente que el fiscal general de California se lo toma en serio y ya lo considera válido como forma de exclusión voluntaria.” De este modo, los 1,2 millones de dólares que Sephora ha sido condenada a pagar podrían repercutir en el panorama de la privacidad de datos en todo EE.UU. durante los próximos años.

Además de la sanción pecuniaria de 1,2 millones de dólares que la Fiscalía General de California ha ordenado pagar a Sephora, la empresa de belleza también es responsable de aclarar “sus declaraciones en línea y su política de privacidad para dejar claro que vende datos, y proporcionar a los internautas formas de optar por no hacerlo, incluso a través de la GPC”. Sin embargo, lo más importante es que la aplicación más reciente de la CCPA representa una victoria no sólo para los residentes en el estado de California, sino también para millones de personas que residen en los otros 49 estados de EE.UU., ya que este fallo legal sentará probablemente el precedente para futuras violaciones de la privacidad en los próximos años.

Related Reads

canada-facial-recognition-new-calls-for-regulation
December 13, 2024 | 5 minutes read
Canadá, reconocimiento facial, peticiones de regulación

Los defensores de la privacidad en Canadá piden al gobierno federal que establezca restricciones y leyes sobre el uso de la tecnología de reconocimiento facial.

Conozca Más »
data-warehouses-new-privacy-laws-and-business
December 13, 2024 | 5 minutes read
Almacenes de datos, nuevas leyes de privacidad y empresas

Un almacén de datos se define como un depósito de datos generados y recogidos por los distintos sistemas operativos de una empresa.

Conozca Más »
the-payment-application-data-security-standard-pa-dss
December 13, 2024 | 4 minutes read
Norma de seguridad de datos de aplicaciones de pago (PA-DSS)

La PA-DSS hace referencia a un conjunto de requisitos orientados a ayudar a los proveedores de software a mantener seguras las aplicaciones de pago.

Conozca Más »
what-is-tiny-ml-what-are-its-business-applications
December 13, 2024 | 5 minutes read
¿Qué es Tiny ML? ¿Cuáles son sus aplicaciones empresariales?

Tiny ML es un campo del aprendizaje automático que estudia modelos ejecutables en dispositivos pequeños y de baja potencia, como microcontroladores.

Conozca Más »
data-anonymization-privacy-and-business-security
December 13, 2024 | 5 minutes read
Anonimización de datos, privacidad y seguridad empresarial

La anonimización de datos protege la información personal al modificarla para que no se pueda identificar a una persona.

Conozca Más »
what-is-a-data-flow-diagram-privacy-compliance
December 13, 2024 | 5 minutes read
¿Qué es un diagrama de flujo de datos? La privacidad

Los mapas de flujo de datos son un método para trazar el flujo de datos a través de un proceso o físicamente a través de una red con fines de privacidad.

Conozca Más »