“CPRA es este tipo único de bestia que ha complicado la privacidad de manera significativa para las organizaciones en los EE. UU.”, dijo Sarah Bruno, socia del bufete de abogados Reed Smith, en el último Digiday Podcast.

Un aspecto de la CPRA que necesita aclaración es la diferencia entre las etiquetas de “contratista” y “proveedor de servicios” de la ley. “Un contratista es una empresa a la que pones a disposición los datos, y un proveedor de servicios es una empresa que procesa los datos en tu nombre. Eso no está muy claro, ¿verdad? Necesitamos más claridad sobre eso”, dijo Bruno.

La CPRA aclara algunos aspectos de la ley de privacidad existente de California, la Ley de Privacidad del Consumidor de California (California Consumer Privacy Act, CCPA), que entró en vigencia en 2020. Cubre el intercambio de datos con fines publicitarios conductuales transcontextuales, lo que ayuda a resolver el Rorschach-esque de la CCPA. definición de venta que atrapó a Sephora en la mira del fiscal general de California.

La adición de la CPRA de compartir datos ha “eliminado la pregunta que teníamos con [the CCPA’s definition of] venta”, dijo Bruno.

Además, por mucho que la CPRA pueda confundir la imagen de privacidad de EE. UU. para las empresas, el factor de complicación más destacado sigue siendo la ausencia de una ley federal de privacidad integral. “Todavía vamos a tener estos matices hasta que haya una ley federal que aborde esto”, dijo Bruno.

Aquí hay algunos aspectos destacados de la conversación, que han sido editados para mayor extensión y claridad.

Expectativas de cumplimiento

Creo que vamos a ver mucha más aplicación. Ciertamente espero un comienzo más suave, similar a las cartas que se escriben, una oportunidad para que las empresas defiendan. Pero sí creo que vamos a ver mucha más aplicación y más rápidamente de lo que vimos bajo la CCPA. Con CCPA, había un derecho a curar. Ya no hay derecho a curar.

Las repercusiones de Sephora

La decisión de Sephora fue otra que creo que permitió que muchos de estos departamentos legales internos de repente dijeran: “Mira, esto es importante”. Ahora hay decisiones que salen de California como resultado de que alguien tomó una decisión rápida bajo CCPA en algún momento. Ahora hay un análisis más detallado con respecto a los flujos de datos y cómo se utilizan.

Un mosaico de leyes de privacidad a nivel estatal

Cada estado tiene requisitos únicos. La definición de información personal confidencial es diferente en los estados. Entonces, debe hacer su inventario de datos y marcar las casillas para cada estado y luego considerar qué medidas de cumplimiento debe tomar. Es brutal para estas empresas.

El potencial de una ley federal de privacidad de EE. UU.

El clima político obviamente dicta esto mucho. Creo que lo que está pasando con la decisión de Dobbs [through which the Supreme Court overturned Roe v. Wade], cosas como esa pueden desencadenar un pensamiento adicional con respecto a la privacidad del consumidor y la necesidad de que haya un marco más consistente en todos los estados y a nivel federal. Pero no he escuchado nada que indique que está empapelado en este momento.