Hacía tiempo que no escribía en este blog sobre la Ley de Privacidad del Consumidor de California(CCPA, por sus siglas en inglés), pero ahora es tan buen momento como cualquier otro. La CCPA es una ley de privacidad del consumidor que entró en vigor a principios de este año, se aplica a las empresas de todo el mundo y tiene algunas ramificaciones únicas para las empresas que hacen negocios en China.
La CCPA entró en vigor el 1 de enero de 2020, unos años después de que se aprobara la ley. A pesar de su largo periodo de aplicación, muchas empresas han tardado en adoptar programas de cumplimiento de la CCPA, y la COVID-19 ha ralentizado aún más esa adopción. Pero dejar las cosas para más tarde puede tener resultados muy drásticos. Aún no hemos visto ni la punta del iceberg.
Lo que diferencia a la CCPA de muchas otras leyes de protección de la intimidad de los consumidores es que: (1) puede aplicarse a empresas de cualquier parte del mundo siempre que la empresa "haga negocios en California" (este término no está bien definido) y cumpla algunos otros criterios; (2) es casi tan amplia como la amplísima normativa de privacidad GDPR de la UE; (3) exige a todas las empresas sujetas a ella que se comprometan a ciertas prácticas de privacidad (que serán muy difíciles, si no imposibles, de cumplir para las empresas centradas en China); y (4) lo más importante, va a dar lugar a demandas bastante importantes.
La CCPA establece que, en caso de violación de datos -que puede ir desde un pirateo malintencionado a algo tan simple como el robo de un ordenador portátil que contenga archivos no cifrados con información personal-, el consumidor cuyos datos se hayan visto afectados puede demandar a la empresa que sufrió la violación y expuso sus datos. Si la empresa no contaba con "procedimientos de seguridad razonables", el consumidor puede reclamar daños y perjuicios reales o daños y perjuicios legales de entre 100 y 750 dólares por incidente. Puede que no parezca mucho, pero consideremos estos dos casos:
- Una empresa global de comercio electrónico que vende productos en California obtiene información protegida de 3.000 clientes y no almacena la información de forma segura. Un delincuente piratea los ordenadores de la empresa y accede a esta información. La empresa tendrá que avisar a los consumidores, que podrán demandarla en una acción colectiva. Incluso sin tener que demostrar los daños, los demandantes pueden obtener hasta 2.250.000 dólares en concepto de daños legales. Esto podría ser la sentencia de muerte para la empresa.
- Los mismos hechos, pero imaginemos que la empresa opera en un sector en el que la privacidad es esencial y una violación de datos que lleve a exponer contactos con la empresa puede ser muy perjudicial para la reputación de una persona. En tal caso, los consumidores que se vean realmente perjudicados por la pérdida de su empleo o de algún otro activo pueden reclamar daños y perjuicios reales. Y los casos de daños reales pueden no prestarse bien a una demanda colectiva, lo que puede dar lugar a que se presenten numerosas demandas diferentes contra la empresa.
Estos son sólo algunos ejemplos de situaciones que pueden darse en virtud de la CCPA, y son bastante graves. Aunque la CCPA no define lo que son "procedimientos de seguridad razonables", algunas fuentes han sugerido que no adherirse a los 20 controles del Center for Internet Security's Critical Security Controls significa que sus procedimientos de seguridad no eran razonables.
A las empresas que operan en China les resultará prácticamente imposible cumplir la CCPA. Estas empresas no podrán cumplir los "procedimientos de seguridad razonables" obligatorios de la CCPA, dado que sus datos no pueden mantenerse en secreto ante el gobierno chino. Como escribimos el año pasado, las nuevas leyes de "ciberseguridad" de China establecen esencialmente que todos sus datos son totalmente evaluables por el gobierno chino:
Este sistema se aplicará a las empresas de propiedad extranjera en China en las mismas condiciones que a todas las personas, entidades o individuos chinos. Ninguna información contenida en un servidor situado en China quedará exenta de este programa de cobertura total. Ninguna comunicación desde o hacia China estará exenta. No habrá secretos. No habrá VPN. Ni mensajes privados o cifrados. Ni cuentas anónimas en línea. No habrá secretos comerciales. Ni datos confidenciales. Todos y cada uno de los datos estarán disponibles y abiertos al gobierno chino. Dado que el gobierno chino es el accionista de todas las empresas estatales y ahora también ejerce un control de facto sobre las principales empresas privadas de China, toda esta información estará disponible para esas empresas estatales y empresas chinas. Véase, por ejemplo,China colocará a funcionarios del Gobierno dentro de 100 empresas privadas, incluida Alibaba. Toda esta información estará disponible para el ejército chino y los institutos de investigación militar. Los chinos están dejando muy claro que este es su plan.
Si las empresas almacenan información personal en China de forma accesible para el gobierno chino, lo tendrán difícil para argumentar que han adoptado "procedimientos de seguridad razonables". ¿Podría alguien culpar a los consumidores por pensar que esto no es razonable? Probablemente no.
Y hay que tener en cuenta que este problema para las empresas que hacen negocios en China va mucho más allá de los datos que estas empresas almacenan físicamente en China. Las nuevas leyes de ciberseguridad de China dejan claro que las empresas deben entregar los datos solicitados por el gobierno chino, independientemente de dónde estén almacenados. En otras palabras, si el gobierno chino exige que su empresa le proporcione todos los datos que almacena en California o en cualquier otro lugar de Estados Unidos, debe hacerlo o se arriesga a ir a la cárcel.
¿Puede alguien culpar a los consumidores de California por creer que los datos que han facilitado a empresas que hacen negocios en China no están protegidos por "procedimientos de seguridad razonables"? ¿Se imaginan cómo explicará esto una empresa demandada en California en virtud de la CCPA ante un jurado del condado de Los Ángeles? Si cree que la Proposición 65 de California es dura, aún no ha visto nada. Prepárese para una serie de demandas muy costosas en materia de seguridad de datos.
No se trata de un problema exclusivo de las empresas que hacen negocios en China y muchas empresas estadounidenses o extranjeras pronto sentirán la ira de la CCPA. Las empresas a menudo me dicen que "la CCPA no se aplica a nosotros porque nuestra empresa no vende productos en California" o que "la CCPA no se aplica porque somos una empresa pequeña". Ambas afirmaciones son erróneas porque la CCPA puede aplicarse, y de hecho se aplica a menudo, incluso a pequeñas empresas con una presencia en línea reducida. Es importante señalar que la ubicación de una empresa también puede ser irrelevante para la aplicación de la CCPA.
La moraleja de la historia es que las empresas se encontrarán en una situación de gran desventaja cuando -no si- empiecen a llegar las demandas de la CCPA, y es probable que sea especialmente duro para las empresas que hacen negocios en China. Puede que haya algunas soluciones, pero ninguna será perfecta y dudamos en enumerarlas aquí por miedo a que solo sirvan para alimentar a los abogados de los demandantes que ya están dando vueltas.
Permanezca atento a ....
