Una mirada al estado de Washington
July 22, 2022 | 10 minutes read
¿Qué está pasando en Washington?
Al igual que muchos estados que buscan proteger la privacidad de sus ciudadanos, el estado de Washington ha estado trabajando diligentemente en la preparación de una legislación bipartidista para crear sus propias leyes de privacidad. La ley de privacidad estatal más conocida de Estados Unidos es la Ley de Privacidad del Consumidor de California (CCPA), que se aprobó en 2018 y entró en vigor plenamente a partir de enero de 2020. Las empresas y corporaciones de todo Estados Unidos se han apresurado a poner a punto sus políticas y procesos de datos antes de julio de 2020, cuando el estado de Washington comenzará a promulgar sanciones contra aquellos que no protejan sus datos.
El estado de Washington aplicará la nueva Ley de Privacidad de Washington (WPA), que se ha hecho pública recientemente. Washington no sólo ha cumplido las normas establecidas por la CCPA, sino que ha subido los estándares para las futuras legislaciones sobre privacidad. El proyecto de ley es tan completo que puede servir de ejemplo para otros cambios futuros en la legislación federal propuesta y otras legislaciones estatales de todo el país.
Eleve sus estándares
¿Por qué esto es importante? Incluso si su empresa no está en California o Washington, sus leyes de privacidad son importantes si espera hacer negocios con los residentes que viven allí. Esto es independiente del lugar del mundo en el que se encuentre la sede de su empresa. Los fiscales generales de los estados tienen el poder de hacer cumplir las legislaciones, imponer multas y sanciones y, en última instancia, arruinar la reputación comercial de las empresas que no cumplan con lo establecido. Esto es importante para su negocio, si quiere tener éxito.
Establecer la ley
El estado de Washington está presentando el proyecto de ley de privacidad más completo generado hasta ahora para proteger la privacidad de los consumidores. Aunque sigue el modelo de la CCPA y la GDPR, Washington va más allá en la protección de sus ciudadanos y en el establecimiento de la ley. Un área novedosa de su normativa es la referida a las tecnologías de reconocimiento facial. Aunque se espera que el proyecto de ley se apruebe con un acuerdo bipartidista, puede haber algunos cambios adicionales antes de su votación final. Esto es lo que se puede esperar:
Ampliación de los derechos de los consumidores
Aunque tanto la CCPA como la GDPR permiten el acceso y la eliminación de la información personal, la WPA va un paso más allá ya que permite el acceso y la eliminación, así como brinda la posibilidad de que los consumidores tengan control sobre su información personal y la corrijan.
También ha ampliado las posibilidades de exclusión de los consumidores. Los ciudadanos de Washington podrán optar por que no se utilicen sus datos personales para la publicidad dirigida. Los consumidores pueden optar por no ser incluidos en el uso de su información personal para hacer un “perfil” cuando se trate de cualquier decisión importante que se tome en su nombre o con relación a sus cuentas o las oportunidades de consumo que se les ofrezcan. Además, si bien la CCPA permite a los consumidores negarse a la venta de su información personal a terceros, la WPA amplía el alcance, permitiendo a los consumidores un mayor control.
Responsabilidades ampliadas de los responsables del tratamiento
Al igual que la CCPA, la WPA exige a los responsables del tratamiento de la información que proporcionen avisos de privacidad. Ambas leyes de privacidad exigen que los avisos de privacidad incluyan información como el tipo de información personal que se procesará, la finalidad de la recopilación de los datos y las categorías corporativas a las que pertenecen los terceros con los que se compartirán los datos personales.
La WPA ha reforzado estos requisitos pues exige a todos los responsables del tratamiento que “revelen de forma clara y visible” si los datos personales de los consumidores se van a utilizar para publicidad dirigida. También deben proporcionar un proceso de apelación, que los consumidores a quienes se les ha negado sus derechos, puedan utilizar.
El estado de Washington ha ido aún más lejos para garantizar la protección de los derechos de los consumidores. Los responsables del tratamiento están sujetos a revisiones estatales y a la normativa de minimización de datos. En cualquier momento pueden ser sometidos a evaluaciones de protección de datos en relación con cualquiera de sus políticas de tratamiento. Todas las evaluaciones deben sopesar la protección de la privacidad del consumidor por encima de la venta o distribución de la información. Los responsables del tratamiento están sujetos a la revisión de estas evaluaciones, que deben facilitarse a la oficina del fiscal general del estado de Washington cuando lo solicite.
Al igual que la GDPR, deben incluirse requisitos de consentimiento para el tratamiento de “datos sensibles”. Los datos sensibles pueden incluir información personal en los registros de salud, el estatus étnico y de ciudadanía e incluso datos de geolocalización precisos (con una exactitud superior a 1750 pies). Por los requisitos adicionales y las sanciones impuestas por uso indebido, la WPA es una normativa más estricta.
Se intensifican las responsabilidades de los encargados del tratamiento
La WPA quiere asegurarse de que las empresas tengan seguridad en torno a quienes manejan su procesamiento de datos. Al igual que la GDPR, tanto los responsables como los encargados del tratamiento deben seguir directrices estrictas y tener contratos de confidencialidad. Estos acuerdos de confidencialidad con los encargados del tratamiento son mucho más rígidos que los que se exigen bajo la CCPA.
Además, los encargados del tratamiento están obligados a colaborar en las evaluaciones de privacidad. Deben proporcionar a los responsables del tratamiento todos los datos necesarios para realizar las evaluaciones y también permitir la revisión periódica de sus propias políticas y prácticas.
Abolido el derecho de acción privada de los consumidores
Este es un aspecto en el que la WPA difiere de las demás normativas sobre privacidad. Los consumidores individuales no pueden presentar una demanda por la violación de sus derechos de privacidad o por sufrir violaciones de datos. En cambio, la CCPA sí lo permite, aunque de forma limitada.
La WPA adopta un enfoque directo, mucho más cercano a la propuesta de ley federal de privacidad de datos que está estudiando el Senado de Estados Unidos. En el estado de Washington las empresas serán responsables por las violaciones de datos y la privacidad individual, pero todas las demandas serán gestionadas directamente por la oficina del fiscal general.
Definiciones de responsabilidad para las empresas de reconocimiento facial
Gran parte de los puntos fuertes adicionales de la WPA que van más allá de otras legislaciones sobre privacidad están relacionados con su voluntad de regular a las empresas que proporcionan o utilizan softwares y servicios de reconocimiento facial. Salvo algunas excepciones muy limitadas, los responsables del tratamiento deben publicar avisos en lugares visibles de que se están utilizando sistemas de reconocimiento facial.
Estas empresas también deben obtener el consentimiento del consumidor. Antes de introducir su foto en una base de datos, se debe notificar al consumidor sobre las prácticas y políticas de privacidad y este debe dar su consentimiento. Estas empresas también deben ofrecer a los consumidores una forma de apelar o impugnar su inserción en dichas bases de datos.
Al igual que en otras evaluaciones de privacidad de datos requeridas por la WPA, los encargados del tratamiento deben permitir a los responsables del tratamiento evaluar la precisión de sus sistemas de reconocimiento facial. Los responsables del tratamiento y los inspectores externos deben estar autorizados a realizar pruebas periódicas. Las pruebas de precisión deben incluir diversos subgrupos de población y tener en cuenta las numerosas diferencias de la población humana a efectos de identidad. Este grupo de pruebas debe incluir rangos de etnicidad, raza, género, tono de piel, grupos de edad y discapacidades.
En caso de que alguna prueba arroje resultados negativos y se confirme la validez de ese resultado, entonces es un requisito obligatorio que el encargado del tratamiento cree, implemente, vuelva a probar y resuelva cualquier discrepancia. Junto con las políticas de privacidad y la información sobre el uso de los datos personales, los encargados del tratamiento también deben incluir documentación sobre sus sistemas en relación con sus capacidades y limitaciones. Esta documentación debe estar redactada en un lenguaje claro y fácil de entender. La documentación que los encargados del tratamiento deben proporcionar a los responsables del tratamiento incluye además un acuerdo de uso que garantice que sus servicios no se utilizarán para discriminar a las personas mediante el uso de sus sistemas de reconocimiento facial.
Derechos de propiedad
La WPA ha elevado los estándares al incluir un nuevo ámbito de debate dentro de su legislación, que consiste en otorgar a los consumidores los derechos exclusivos de propiedad sobre sus propios datos biométricos. El hecho de que los ciudadanos sean propietarios de sus propios identificadores biométricos ayudará a limitar cualquier abuso o infracción relacionada con dichos datos.
Por supuesto, la WPA tiene muchas más cosas que merecen una revisión exhaustiva por parte de otros estados y que conciernen a las empresas a nivel mundial que quieran hacer negocios con los consumidores del estado de Washington. Así que, aunque su empresa esté en Maine o España, se arriesga a ser demandada por el fiscal general del estado de Washington si no cumple con esta normativa. Las sanciones, aunque todavía se están fijando, serán severas, ya que la oficina del fiscal general se encargará de todas las demandas y sanciones. Ni las menores faltas se pasarán por alto.
Ponga las miras altas
Todas estas nuevas normativas sobre privacidad de datos pueden resultar bastante confusas para muchas empresas. ¿Qué reglamento de privacidad sigue usted? Como empresa, usted depende de la tecnología de la información y de internet para funcionar, para llegar a los consumidores y para socializar en los espacios de mercado. Todo sistema que se conecte implica riesgos y conlleva consecuencias.
En el mundo actual los datos personales son un bien valioso y siempre habrá alguien con una computadora dispuesto a sacar provecho de las imprudencias ajenas. En el mundo cibernético los datos personales son un objetivo fácil y los ladrones informáticos se ocultan detrás un muro de ciberseguridad, como los asaltantes detrás una máscara. Una sola violación de datos puede costar a una empresa su preciada reputación y, a la postre, llevarla a la quiebra. Esto sin mencionar los gastos legales y las sanciones.
Contar con políticas de privacidad propias que hayan pasado por una evaluación y planificación exhaustivas puede ayudar. Utilizar un software de redacción inteligente durante la recopilación, distribución, almacenamiento y destrucción de datos puede ayudarle a alcanzar sus metas empresariales a la vez que salvaguarda la privacidad de sus consumidores. De seguro esta garantía le ayudará a dormir por la noche. CaseGuard ha desarrollado el mejor software de redacción del mercado. Este es capaz de procesar todo tipo de datos, incluyendo archivos de audio, video y PDF, así como reconocimiento facial. Además, el software incluye increíbles funcionalidades automáticas para la transcripción, la traducción y el subtitulado.
¿Todavía no está seguro? Mire lo que dijo sobre las cambiantes y numerosas regulaciones en materia de privacidad uno de los mayores expertos en privacidad del mundo, el director de seguridad informática de Black & Veatch, James Waters: “Como director de seguridad informática global, el mejor consejo que puedo dar es que no intentes hacer algo diferente en cada parte del mundo. Elige lo que vas a utilizar desde el punto de vista de las políticas y los procedimientos. En general, escoge desde una perspectiva global las regulaciones más onerosas y estrictas que tengas que cumplir y aplícalas globalmente.”
Este es un punto de vista increíblemente inteligente. No se puede cambiar las políticas continuamente para adaptarse a cada ley. Por el contrario, suba sus estándares en cada área de las regulaciones de privacidad. De este modo habrá cubierto todas sus bases y protegido a sus consumidores y los datos de su empresa.