Quién sabe si esto realmente sucederá o cuándo, pero la propuesta Ley de Derechos de Privacidad Estadounidense (APRA) es lo más cerca que Estados Unidos ha estado alguna vez de una ley federal que logra cruzar la línea entre política y política.
Y esa es razón suficiente para analizar lo que este conjunto de leyes de privacidad estadounidenses podría significar para la industria publicitaria en general.
¿Qué carajo es el APRA?
Cambiaría las cosas en la publicidad al obligar a las empresas a reducir la cantidad de datos que recopilan sobre las personas y al mismo tiempo permitirles gestionar, corregir e incluso exportar sus propios datos. Ese control también les daría el poder de decir “no” a los anuncios dirigidos y a la transferencia de sus propios datos. Además, tendrían la opción de optar por no participar en algoritmos que influyen en decisiones importantes de su vida, como dónde vivir o para quién pueden trabajar. Y, por supuesto, hay un gran enfoque en reforzar las medidas de seguridad para mantener la información de todos sana y salva. Ah, y no te olvides de los patrones oscuros; a las empresas se les prohibiría utilizar estas tácticas furtivas para disuadir a los usuarios de ejercer sus nuevos derechos en la configuración de privacidad.
Espera, esto suena como el Reglamento General de Protección de Datos en Europa.
Sí, el APRA está diseñado para reflejarlo. Tal como lo hizo el RGPD al otro lado del charco, la APRA intervendría para reemplazar las leyes estatales de privacidad, con algunas excepciones como los derechos civiles y la protección del consumidor.
¿En qué se diferencia esto del Ley de Privacidad del Consumidor de California (CCPA)?
La CCPA es específica del estado y se aplica únicamente a las empresas de California; la APRA pretende convertirse en una ley federal de privacidad aplicable en todo el país. Ambas leyes otorgan derechos como el acceso y la eliminación de datos personales, pero difieren en términos de aplicación, alcance y definiciones de información personal. La CCPA se centra en las empresas con sede en California e incluye identificadores como direcciones IP. Por el contrario, los detalles del APRA todavía se están puliendo, lo que podría prevalecer sobre las leyes estatales e introducir la aplicación federal. Básicamente, APRA se esfuerza por lograr un enfoque estandarizado para la protección de la privacidad en todo Estados Unidos, mientras que CCPA atiende específicamente a California y sus regulaciones únicas.
Entonces el APRA es algo bueno ¿no?
Bueno, ciertamente hay algunos aspectos positivos a considerar. Estandarizar los requisitos de cumplimiento para los anunciantes en los EE. UU., similar a lo que el GDPR logró en Europa, podría aligerar la carga de cumplimiento para las organizaciones. Antes del RGPD, lidiar con las leyes de privacidad específicas de cada estado era como hacer malabarismos con múltiples regulaciones específicas de cada país en Europa, lo que hacía que cumplir con todos los requisitos fuera un verdadero desafío. Esta medida podría beneficiar tanto a las empresas que buscan mitigar los riesgos de cumplimiento como a los consumidores.
¿Por qué parece que hay una trampa?
Porque lo hay. Si bien la aplicación del RGPD la gestionan principalmente a nivel nacional las agencias de protección de datos, lo que genera algunas inconsistencias, la APRA adopta un enfoque diferente. Introduce un sistema de aplicación de tres niveles que involucra a la FTC, los estados y acciones individuales. Esto aumenta los riesgos de cumplimiento para los anunciantes y podría generar inconsistencias en la aplicación.
¿Por qué se está desarrollando todo esto ahora?
Bueno, los intentos anteriores de legislación federal sobre privacidad, como la Ley Estadounidense de Protección y Privacidad de Datos (ADPPA), no dieron en el blanco. Algunos políticos, como la senadora María Cantwell, no estaban satisfechos con ellos. A otros, principalmente de California, les preocupaba que una ley nacional anulara las leyes de protección de datos de su estado. Pero ahora el panorama político ha cambiado. Algunos legisladores se han retirado o han perdido el poder, lo que ha cambiado el juego. Además, el creciente interés de Washington en la política de IA depende de fuertes estándares de privacidad, un hecho que no pasa desapercibido para la Casa Blanca. El reciente enfoque en ByteDance, la empresa matriz de TikTok, y los esfuerzos para garantizar la seguridad de sus datos, junto con las preocupaciones sobre la protección infantil en línea, como se refleja en la Ley de Protección de la Privacidad en Línea de Niños y Adolescentes, constituyen un argumento convincente a favor de normas a nivel nacional.
Entonces el APRA es un trato cerrado, ¿verdad?
No exactamente. La parte complicada está en los detalles, particularmente en la sección 19 de la legislación, como señaló Lucas Long, jefe de estrategia de privacidad global de InfoTrust, una empresa de consultoría sobre gobernanza de datos. Esta sección, que otorga poderes de ejecución a los individuos, hace que la legislación sea difícil de vender, continuó. Históricamente, Long dijo que la inclusión de un derecho de acción privado ha sido un obstáculo importante en las leyes estatales integrales de privacidad, y aquí también está en gran medida ausente. Esto ha sido un dolor de cabeza para las oficinas de privacidad de los principales anunciantes que se ocupan de leyes como la Ley de Invasión de la Privacidad de California y la Ley federal de Protección de la Privacidad de Vídeo. Es probable que tanto los grupos de la industria comercial como las grandes plataformas de tecnología publicitaria retrocedan, especialmente en este punto, añadió Long.
¿Qué pasa después?
Para que el APRA se convierta en ley, primero debe presentarse en el Congreso, someterse a revisión por los comités pertinentes, ser debatido y votado tanto en la Cámara como en el Senado, y potencialmente conciliado si hay diferencias entre las versiones. Finalmente, necesita la aprobación del Presidente. Este proceso implica varias etapas de consideración, negociación y posibles enmiendas antes de que pueda ser promulgado. Las aportaciones del público, los esfuerzos de cabildeo y la dinámica política influyen en el recorrido del proyecto de ley por el Congreso.
¿Las próximas elecciones afectarán el rumbo del APRA?
Probablemente no. El hecho de que el APRA sea bipartidista, con el apoyo de miembros de ambos partidos, debería protegerlo de cualquier turbulencia causada por la carrera presidencial. Las recientes audiencias del Senado sobre plataformas de redes sociales refuerzan esta opinión. A lo sumo, las elecciones podrían ralentizar los debates y la aprobación de la legislación, pero es poco probable que dicte su destino.
¿Cómo ha recibido el talento de la industria publicitaria el anuncio?
Más o menos como se esperaba. La IAB, por ejemplo, reconoció los avances logrados, pero enfatizó la necesidad de realizar más mejoras. En una declaración posterior a la propuesta del APRA, el organismo comercial enfatizó la importancia de tener prioridad total sobre las leyes estatales para establecer un código nacional consistente. También expresó su preocupación por una posible avalancha de demandas con la inclusión de un derecho de acción privado, e instó a utilizar un lenguaje férreo. Además, la organización abogó por un período de gracia de al menos un año para que las empresas cumplan antes de que entre en vigor la aplicación de la ley.
¿Algo más que añadir?
Bueno, alejemos la imagen y pongamos en contexto la propuesta del APRA. Como señaló Long de InfoTrust, esta medida sugiere que la era del excepcionalismo de las grandes tecnologías se está desvaneciendo. Dado que las investigaciones y acciones de la FTC se centran en las grandes tecnologías, tanto desde la perspectiva antimonopolio como de privacidad, es evidente que los reguladores federales están cambiando su prioridad nuevamente a los consumidores y lejos de proteger a las grandes tecnologías.
Con información de Digiday
Leer la nota Completa > WTF es la Ley Estadounidense de Derechos de Privacidad