Gartner calcula que, a finales de este año, el 65% de las personas de todo el mundo tendrán sus datos personales protegidos por normas de privacidad. Esto es una gran noticia para los consumidores, pero un difícil reto para las empresas que intentan operar utilizando datos.
En la actualidad existen más de 120 normativas sobre protección de datos y privacidad en todo el mundo. Y hay muchas más en preparación. Esto puede resultar muy confuso para las empresas con operaciones globales. Es fundamental que los anunciantes comprendan estas normativas para asegurarse de que pueden seguir cumpliéndolas y seleccionar con confianza proveedores y socios de datos que respeten la privacidad.
Esta completa guía explicará las leyes de protección de datos más restrictivas para que los anunciantes puedan entender mejor lo que pueden y no pueden hacer con los datos de origen.
El incumplimiento de la protección de datos se paga caro
Existen dos riesgos principales en lo que respecta a la privacidad de los datos:
- Perder negocio porque los usuarios han perdido la confianza en la forma en que gestionas sus datos.
- Multas de los organismos reguladores por tratamiento de datos no conforme.
Ambos riesgos conllevan costes que pueden perjudicar gravemente a una empresa. Por ejemplo, la ley de protección de datos de Brasil puede reclamar el 2% de los ingresos que una empresa genera en Brasil y el GDPR de la Unión Europea puede reclamar el 4% de los ingresos globales de una empresa. Aunque muchas de estas leyes son todavía nuevas, hay muchas empresas que ya han sido multadas con importantes sumas de dinero.
Datos rápidos sobre las grandes multas del GDPR:
- La mayor multa hasta la fecha es la del GDPR a Amazon en 2021, de 877 millones de dólares.
- Meta (antes Facebook) recibió en 2022 una multa de 433 millones de dólares.
- Lla mayores multas del RGPD también incluyen a Google, que ha sido sancionada en dos ocasiones con multas por un total de 65 millones de dólares.
- El GDPR ha multado a un unas 1.000 empresas en los últimos 2 años, con multas acumuladas de 1.250 millones de dólares.
Para las empresas que sólo operan en Estados Unidos, existen normativas estatales a las que hay que hacer frente. La primera normativa activa fue la CCPA de California, que impone multas de 7.500 dólares por cada violación individual de la privacidad de los datos de los consumidores. Hasta la fecha se ha multado a diez empresas, pero no se han revelado los importes totales. Lo que está claro es que normativas como la CCPA pueden provocar una pesadilla de resolución de consultas y tasas aditivas una vez que los consumidores detectan un problema.
Las empresas deben tomar precauciones para evitar sanciones por incumplimiento. Esto es especialmente cierto en el caso de los anunciantes que utilizan muchos datos para identificar audiencias objetivo y colocar contratos publicitarios. Por eso es fundamental que los anunciantes comprendan claramente las políticas más estrictas y las preguntas importantes que deben plantearse interna y externamente para garantizar el cumplimiento.
Normativa destacada sobre protección de datos
Las normativas de las que más se habla hoy en día son las que se han convertido en ley con periodos de gracia o las que están repartiendo multas activamente. El Reglamento General de Protección de Datos (RGPD) de la Unión Europea es uno de los más estrictos y publicitados. La ley de protección de datos de Brasil (LGPD) salió después del GDPR y es la regulación más importante de Sudamérica. En Estados Unidos, la Ley de Privacidad de Datos de los Consumidores (CCPA) de California fue la primera en aprobarse, seguida de cerca por la Ley de Privacidad de Colorado y la Ley de Protección de Datos de los Consumidores (CDPA) de Virginia. He aquí el desglose de estas normativas activas que están sentando precedente para el resto del mundo.
Reglamento general de protección de datos (GDPR)
- Fecha de aprobación de la ley: 14 de abril de 2016
- Fecha de entrada en vigor: 25 de mayo de 2018
- Definición: El RGPD obliga a las empresas a solicitar ciertos permisos para compartir datos y otorga a las personas derechos de acceso, supresión o control del uso de esos datos. El GDPR permite el permiso de inclusión voluntaria cuando el usuario se suscribe activamente para recibir correos electrónicos o boletines facilitando su dirección de correo electrónico y, a veces, su nombre y otros datos personales. Tenga en cuenta que el Reino Unido también tiene su propia versión del GDPR: GDPR DEL REINO UNIDO
- Cumplimiento: Las autoridades de protección de datos (APD) de los 27 Estados miembros de la UE velan por el cumplimiento del RGPD. Las APD son independientes del gobierno. Su función es investigar las denuncias, asesorar en materia de protección de datos y determinar si se ha infringido el RGPD.
- Sanciones: Para las infracciones especialmente graves, la multa puede ser de hasta 20 millones de euros, o hasta el 4% de sus ingresos globales totales del ejercicio fiscal anterior, si esta cifra es superior. Para las infracciones menos graves se prevén multas de hasta 10 millones de euros, o hasta el 2% de sus ingresos globales del ejercicio fiscal anterior, si esta cifra es superior.
- Qué significa para los anunciantes: El GDPR se aplica a cualquier empresa que procese datos personales de ciudadanos o residentes de la UE, o que les ofrezca bienes o servicios. Cualquier empresa que se ajuste a esta descripción debe cumplir estos siete principios:
- Legalidad, equidad y transparencia: el tratamiento debe ser legal, equitativo y transparente para el interesado.
- Limitación de la finalidad - Debe tratar los datos para los fines legítimos especificados explícitamente al interesado cuando los recopiló.
- Minimización de datos - Debe recopilar y procesar sólo los datos absolutamente necesarios para los fines especificados.
- Exactitud - Debe mantener los datos personales exactos y actualizados.
- Limitación de almacenamiento - Sólo podrá almacenar datos de identificación personal durante el tiempo necesario para el fin especificado.
- Integridad y confidencialidad - El tratamiento debe realizarse de forma que se garantice la seguridad, integridad y confidencialidad adecuadas (por ejemplo, mediante el uso de cifrado).
- Responsabilidad - El responsable del tratamiento de datos es responsable de poder demostrar el cumplimiento del RGPD con todos estos principios.
También es importante que los anunciantes conozcan las nuevas normas estrictas sobre lo que constituye consentimiento del interesado para procesar su información.
- El consentimiento debe ser "libre, específico, informado e inequívoco".
- Las solicitudes de consentimiento deben "distinguirse claramente de los demás asuntos" y presentarse en un "lenguaje claro y sencillo".
- Los interesados pueden retirar su consentimiento previo siempre que lo deseen, y usted tiene que respetar su decisión. No puede limitarse a cambiar la base jurídica del tratamiento por otra justificación.
- Los menores de 13 años sólo pueden dar su consentimiento con la autorización de uno de sus padres.
- Debe conservar pruebas documentales del consentimiento.
Ley General de Protección de Datos de Brasil (LGPD)
- Fecha de aprobación de la ley: 14 de agosto de 2018.
- Fecha de entrada en vigor: 18 de septiembre de 2020.
- Definición: La LGPD regula el tratamiento de datos personales con el objetivo de proteger los derechos fundamentales de libertad y privacidad de las personas. Cualquier organización, independientemente de donde esté ubicada, que tenga clientes en Brasil, necesita estar en conformidad con la LGPD. Esto significa que no sólo se protege la información personal de los ciudadanos brasileños, sino de cualquier persona cuyos datos se hayan recogido o tratado dentro de Brasil.
- Cumplimiento de la ley: Una parte de esta ley incluía la creación de una autoridad reguladora federal independiente, la Autoridade Nacional de Proteção de Dados (ANPD). Su función es interpretar y hacer cumplir la LGPD y actuar como autoridad nacional de supervisión.
- Sanciones: Las sanciones administrativas pueden ser aplicadas por la autoridad en caso de violación de la LGPD. Entre las sanciones, hay avisos y multas, que pueden variar del 2% de la facturación de la empresa en Brasil en su último ejercicio fiscal, limitadas en total a 50.000.000,00 (cincuenta millones de reales) por infracción. También existe la posibilidad de una multa diaria para obligar a la entidad a cesar las infracciones.
- Qué significa esto para los anunciantes: Cualquier empresa que recopile información sobre los usuarios mientras se encuentran en Brasil debe garantizar el cumplimiento de estas normas, incluida la obtención de un consentimiento inequívoco para utilizar sus datos personales. Si sigue las normas de consentimiento expreso del GDPR, cumplirá la LGPD.
Ley de Privacidad del Consumidor de California (CCPA Y CPRA)
- Fecha de aprobación de la ley: El 28 de junio de 2018 se aprobó la CCPA. La CPRA es una enmienda a la CCPA y se aprobó el 3 de noviembre de 2020.
- Fecha de entrada en vigor: La CCPA entró en vigor el 1 de enero de 2020. La enmienda CPRA entró en vigor el 1 de enero de 2023.
- Definición: Esta ley histórica asegura nuevos derechos de privacidad para los consumidores de California, incluyendo:
- Derecho a conocer la información personal que una empresa recopila sobre ellos y cómo se utiliza y comparte;
- Derecho a suprimir la información personal que se haya recopilado sobre ellos (con algunas excepciones);
- Derecho a optar por que no se vendan o compartan sus datos personales.
- El derecho a la no discriminación por ejercer sus derechos CCPA.
En noviembre de 2020, los votantes de California aprobaron Propuesta 24, la CPRAque modificó la CCPA y añadió nuevas protecciones adicionales de la intimidad a partir del 1 de enero de 2023. A partir del 1 de enero de 2023, los consumidores tienen nuevos derechos además de los anteriores, como:
- Derecho a rectificar los datos personales inexactos que una empresa tenga sobre ellos.
- Derecho a limitar el uso y la divulgación de la información personal sensible que se recopile sobre ellos.
- Ejecución: El Fiscal General de California tiene plena autoridad para hacer cumplir la CCPA. Dicho esto, la enmienda a la CPRA concedió a la Agencia de Protección de la Privacidad de California plenos poderes administrativos, autoridad y jurisdicción para aplicar y hacer cumplir la CCPA; el Fiscal General conservó los poderes de ejecución.
- Sanciones: Las infracciones de la CCPA están sujetas a la aplicación de la ley por parte de la oficina del fiscal general de California, que puede solicitar sanciones civiles de 2.500 dólares por cada infracción o de 7.500 dólares por cada infracción intencionada una vez que se haya notificado y se haya dado una oportunidad de subsanación de 30 días.
- Qué significa esto para los anunciantes: Las empresas sujetas a la CCPA tienen varias responsabilidades, entre ellas responder a las solicitudes de los consumidores para ejercer estos derechos y dar a los consumidores determinados datos. avisos que explican sus prácticas de privacidad.
Ley de Protección de Datos de los Consumidores de Virginia (VCDPA)
- Fecha de aprobación de la ley: 2 de marzo de 2021
- Fecha de entrada en vigor: 1 de enero de 2023
- Definición: La VCDPA otorga a los consumidores el derecho a acceder a sus datos personales y solicitar su supresión por parte de las empresas. También obliga a las empresas a realizar evaluaciones de protección de datos en relación con el tratamiento de datos personales con fines de publicidad dirigida y ventas. La ley contiene incluso algunas restricciones sobre el uso de datos desidentificados, o modificados para no identificar directamente a las personas de las que proceden los datos.
- Ejecución: El Fiscal General de Virginia es la única entidad que puede hacer cumplir la VCDPA y reclamar daños y perjuicios.
- Sanciones: Las infracciones pueden dar lugar a sanciones civiles de hasta 7.500 dólares por infracción individual del consumidor. Además, las empresas pueden ser consideradas responsables del reembolso de los gastos razonables de la oficina, que incluyen los honorarios de los abogados.
- Qué significa esto para los anunciantes: La ley de Virginia no difiere mucho de la CCPA, pero es importante señalar que no especifica los ingresos de la empresa. Es decir, se aplica a empresas de cualquier tamaño que procesen datos.
Encontrará una lista exhaustiva de las normativas de los países de todo el mundo aquí.
La nueva normativa sobre privacidad de datos se aprobará en 2023
Se están preparando más normativas sobre privacidad de datos, pero éstas son algunas de las más importantes que entrarán en vigor en un futuro próximo.
La Ley de Privacidad de Colorado (CPA)
- Fecha de aprobación de la ley: 7 de julio de 2021
- Fecha de entrada en vigor: 1 de julio de 2023
- Definición: La Ley de Privacidad de Colorado (Colorado Privacy Act) otorga a los residentes de Colorado el derecho a excluirse voluntariamente de la publicidad dirigida, la venta de sus datos personales y determinados tipos de elaboración de perfiles. A partir del 1 de julio de 2024, los responsables del tratamiento deberán respetar las opciones universales de exclusión de la publicidad dirigida y las ventas seleccionadas por el usuario. Los residentes en Colorado también tienen derecho a acceder, rectificar y suprimir sus datos personales, así como a la portabilidad de los datos. En general, los responsables del tratamiento dispondrán de 45 días para responder a las solicitudes de los consumidores.
- Cumplimiento: El cumplimiento de la CPA está exclusivamente a cargo del Fiscal General de Colorado o del fiscal de distrito.
- Sanciones: En virtud de la CPA, las infracciones están sujetas a sanciones civiles en virtud de la Ley de Protección del Consumidor de Colorado, que prevé sanciones civiles de no más de 20.000 dólares por cada infracción de un consumidor individual.
- Qué significa esto para los anunciantes: Como otra ley de protección de los consumidores, será aditiva a la actividad de California y Virginia. Esto significa que si una empresa es acusada de una infracción en un estado, ésta puede extenderse rápidamente a otros estados con normativas similares.
Ley de Protección de Datos de Connecticut (CTDPA)
- Fecha de aprobación de la ley: 10 de mayo de 2022
- Fecha de entrada en vigor: 1 de julio de 2023
- Definición: La CTDPA proporciona a los residentes de Connecticut los siguientes derechos enumerados:
- Derecho a acceder a los datos personales que un responsable del tratamiento haya recogido sobre ellos.
- Derecho a corregir las inexactitudes en sus datos personales.
- Derecho a suprimir sus datos personales, incluidos los datos personales que un responsable del tratamiento haya recopilado a través de terceros.
- Derecho a obtener una copia de sus datos personales en un formato portátil y fácilmente utilizable que le permita transferir los datos a otro responsable del tratamiento con facilidad.
- Derecho de exclusión voluntaria:
- la venta de sus datos personales;
- el tratamiento de datos personales con fines de publicidad dirigida; y
- la elaboración de perfiles que puedan tener repercusiones jurídicas o de otro tipo.
- Ejecución: El Fiscal General de Connecticut tiene autoridad exclusiva para hacer cumplir la CTDPA.
- Sanciones: Hasta 5.000 dólares por infracción. Además de las sanciones civiles, el Fiscal General también puede emprender acciones judiciales por daños y perjuicios adicionales.
- Qué significa esto para los anunciantes: Las empresas que recojan y traten datos personales de residentes en Connecticut deben:
- Informar sobre los tipos de datos personales que tratan, la finalidad o finalidades del tratamiento, si comparten datos personales con terceros y por qué, e información sobre cómo los consumidores pueden ejercer sus diversos derechos (por ejemplo, acceso, supresión) sobre sus datos personales.
- Limitar la recogida de datos personales a lo que sea adecuado, pertinente y razonablemente necesario para los fines específicos para los que se tratan los datos (también conocido como "minimización de datos").
- Obtener el consentimiento antes de tratar los datos sensibles de un consumidor.
- Responder a las solicitudes de ejercicio de los derechos de los consumidores concedidos en virtud de la CTDPA.
- Llevar a cabo evaluaciones antes de tratar datos personales de una manera que presente un mayor riesgo de perjuicio para los consumidores (denominadas "evaluaciones de protección de datos"). Esto incluye el tratamiento de datos personales con fines de publicidad dirigida, venta o elaboración de perfiles, y el tratamiento de datos sensibles.
Ley de Privacidad del Consumidor de Utah (UCPA)
- Fecha de aprobación de la ley: 24 de marzo de 2022
- Fecha de entrada en vigor: 31 de diciembre de 2023
- Definición: La UCPA otorga a los consumidores cuatro derechos principales:
- Derecho de acceso: derecho a confirmar si un responsable del tratamiento está tratando sus datos y derecho a acceder a esos datos personales.
- Derecho de supresión: derecho a que la empresa suprima los datos personales que haya facilitado al responsable del tratamiento.
- Derecho a la portabilidad de los datos: derecho a obtener una copia de sus datos personales en un formato fácilmente utilizable.
- Derecho a excluirse voluntariamente de determinados tratamientos: derecho a excluirse voluntariamente del tratamiento de sus datos personales con fines de publicidad selectiva; o de la venta de datos personales.
- Ejecución: El Fiscal General de Utah tiene autoridad exclusiva para hacer cumplir la UCPA.
- Sanciones: Una vez notificada la infracción, las empresas disponen de 30 días para subsanarla. Si no se subsana en ese plazo, el fiscal general puede imponer sanciones y daños y perjuicios de hasta 7.500 dólares por infracción.
- Qué significa esto para los anunciantes: Esta ley es más sencilla para las empresas que las de California, Virginia y Colorado. Mientras una empresa cumpla esas normativas más estrictas, no debería haber ningún cambio cuando esta ley entre en vigor.
Protección federal de datos en EE.UU.
Aunque la privacidad de los datos de los consumidores se gestiona principalmente a nivel estatal en EE.UU., existen muchas normativas a nivel federal que se aplican a determinados sectores y que también deben cumplirse.
Ley de Protección de la Privacidad Infantil en Internet (COPPA)
La COPPA impone ciertos requisitos a los operadores de sitios web o servicios en línea dirigidos a niños menores de 13 años, y a los operadores de otros sitios web o servicios en línea que tengan conocimiento real de que están recopilando información personal en línea de un niño menor de 13 años.
Ley de Portabilidad y Contabilidad de los Seguros Sanitarios (HIPAA)
La Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios de 1996, comúnmente conocida como HIPAA, es una serie de normas reguladoras que describen el uso y la divulgación lícitos de la información sanitaria protegida (PHI). El cumplimiento de la HIPAA está regulado por el Departamento de Salud y Servicios Humanos (HHS) e impuesto por la Oficina de Derechos Civiles (OCR).
Ley Gramm Leach Bliley (GLBA)
La Ley Gramm-Leach-Bliley obliga a las instituciones financieras (empresas que ofrecen a los consumidores productos o servicios financieros como préstamos, asesoramiento financiero o de inversión, o seguros) a explicar a sus clientes sus prácticas de intercambio de información y a salvaguardar los datos sensibles.
Ley de Información Crediticia Equitativa (FCRA)
La Ley de Informes de Crédito Justos protege la información recopilada por las agencias de informes de los consumidores, como las agencias de crédito, las empresas de información médica y los servicios de selección de inquilinos. La información contenida en un informe del consumidor no puede facilitarse a nadie que no tenga una finalidad especificada en la Ley. Las empresas que proporcionan información a las agencias de informes de los consumidores también tienen obligaciones legales específicas, incluido el deber de investigar la información controvertida. Además, los usuarios de la información con fines de crédito, seguros o empleo deben notificar al consumidor cuando se adopte una medida adversa sobre la base de dichos informes.
Preguntas a los proveedores de datos para garantizar el cumplimiento de la protección de datos
Al trabajar con proveedores y socios de datos, ahora es más importante que nunca asegurarse de que manejan los datos personales de forma adecuada. Estas son las preguntas fundamentales que hay que plantearse para confirmar que los nuevos proveedores de datos cumplen la normativa actual y futura.
- ¿Existe en su empresa un equipo de privacidad que se encargue de su cumplimiento? ¿O la privacidad está integrada en el diseño?
- ¿Qué documentación mantiene sobre los datos que recopila, como el consentimiento, cómo se utilizan, dónde se almacenan, qué empleado es responsable de ellos, etc.?
- ¿Qué medidas de seguridad aplica al almacenamiento de datos?
- ¿Cómo está gestionando los requisitos de inclusión y exclusión voluntarias impuestos por los reguladores regionales de privacidad?
- ¿Qué está haciendo para abordar las recientes leyes estatales de EE.UU.?
- ¿Qué está haciendo para cumplir la reciente normativa GDPR?
- ¿Cómo te aseguras de que tratas los datos confidenciales respetando la privacidad, especialmente los datos sanitarios o religiosos?
- ¿Tiene previsto someterse este año a una auditoría/revisión de la protección de la intimidad con vistas a una posible certificación? En caso afirmativo, ¿con qué organización tiene previsto trabajar?
Hacer estas preguntas dará una idea clara de la seriedad con la que el proveedor de datos se toma la protección de datos y la privacidad, así como de lo preparado que está para demostrar el cumplimiento de la normativa internacional. Asociarse con proveedores de datos como ShareThis, que sitúan la privacidad de los datos a la vanguardia de sus prácticas empresariales, permitirá a los anunciantes preocuparse menos por el cumplimiento de la privacidad de los datos y centrarse en cambio en el éxito publicitario.