Crédito:CC0 Public Domain
Una nueva ley radical que tiene como objetivo reescribir las reglas de Internet en California entrará en vigencia el 1 de enero.
La mayoría de las empresas con un sitio web y clientes en California, es decir, la mayoría de las grandes empresas del país, deben seguir el nuevo régimen. que se supone que hace la vida en línea más transparente y menos espeluznante para los usuarios.
El único problema:nadie está seguro de cómo funcionan las nuevas reglas.
La Ley de Privacidad del Consumidor de California partió de una premisa simple:las personas deberían poder saber si las empresas venden su información personal, ver qué información ya han recopilado las empresas sobre ellos, y tener la opción de salir de todo el sistema.
Pero nada es simple cuando se trata de la economía de datos en línea de alta velocidad y en gran parte opaca. Durante más de dos décadas, las empresas de tecnología han construido un sistema profundamente enredado para rastrear los hábitos y las identidades de millones de usuarios, cada segundo de cada día, y luego intercambiar o vender esa información para ajustar aún más el marketing, publicidad y estrategia comercial.
Gracias a la complejidad técnica del sistema y al apresurado cronograma de implementación, varias preguntas básicas quedan sin respuesta. ¿Qué significa "vender"? ¿Cómo pueden las empresas estar seguras de que están eliminando los datos de la persona correcta? ¿Y el simple hecho de tener un sitio web que realiza un seguimiento de cuántas personas visitan cada año significa que debe meterse en la maraña regulatoria?
La oficina del Fiscal General, que tiene la tarea de interpretar y hacer cumplir la ley, solo publicó su primera ronda de borradores de reglamentos a principios de octubre. Es poco probable que llegue un set final hasta bien entrado 2020, y la ley no se hará cumplir hasta julio.
Mientras tanto, las empresas están luchando para asegurarse de no infringir los principios básicos de la ley. Las grandes empresas están firmando acuerdos con empresas que se especializan en cumplimiento para crear botones de "no vender mi información personal" en sus sitios (y asegurarse de que realmente funcionen). Las pequeñas empresas están configurando cuentas de correo electrónico para atender las solicitudes de los clientes, o simplemente manteniendo la cabeza baja y apostando a que el fiscal general no se molestará en molestarlos una vez que comience la aplicación.
"No hay un abogado de privacidad en la industria que no esté trabajando las veinticuatro horas del día en este momento para prepararse para el 1 de enero, "dijo Michael Hahn, abogado general del Interactive Advertising Bureau, un grupo industrial formado por empresas del ecosistema de publicidad online.
Comenzó cuando Alistair McTaggart, un desarrollador inmobiliario de San Francisco, Tuvo una conversación inquietante sobre la privacidad digital con un ingeniero de Google en un cóctel. Decidió financiar una campaña electoral de 2018. Los legisladores de Sacramento llegaron a un acuerdo para convertirlo en ley, e inusualmente para una ley que puede afectar a empresas de miles de millones de dólares, se mantuvo en gran parte sin cambios por los esfuerzos de cabildeo hasta 2019.
En la economía de los datos, la información personal de los usuarios se puede utilizar en transacciones ultrarrápidas, como la subasta en tiempo real que se lleva a cabo detrás de cada anuncio en línea, y almacenados en bases de datos durante décadas. Algunas veces, las empresas venden información personal:la ubicación de alguien, edad o incluso nombre, sin ninguna información de contacto, o formas sencillas de verificar la identidad de esa persona.
El resultado es una mezcla turbia de vigilancia total y mantenimiento de registros descuidado, lo que hace que responder a demandas aparentemente sencillas como "dime qué información has recopilado sobre mí" y "dejar de vender mi información" es sorprendentemente complejo.
Por negocios, el impacto ha sido el equivalente digital de exigir que todos los conductores del estado instalen un convertidor catalítico nuevo en su automóvil o se enfrenten a una multa, sin compartir nombres de marcas o especificaciones técnicas de la actualización requerida. Un informe de 2019 encargado por la oficina del Fiscal General estimó que cumplir con la ley podría costarles a las empresas afectadas $ 55 mil millones por adelantado. con el potencial de $ 16 mil millones adicionales durante la próxima década.
Los legisladores detrás de las reglas ven el caos como necesario para frenar una industria que ha estado operando sin control durante décadas.
"Realmente ha sido el Salvaje Oeste, "dice Bob Hertzberg (D – Van Nuys), el líder de la mayoría del Senado del Estado de California que defendió el proyecto de ley en Sacramento. "Siempre hay un poco de revuelo, pero la clave es mantener la vista en el horizonte, y hacerlo viable pero profundamente orientado al futuro en términos de protección al consumidor ".
Las empresas afectadas por las nuevas normas renunciaron a oponerse a ellas una vez que quedó claro que se convertirían en ley. Ahora solo quieren averiguar qué está pasando.
En una reunión a principios de diciembre en Los Ángeles, representantes de poderosos grupos comerciales e individuos interesados se alinearon para expresar no tanto oposición como confusión como parte del período de comentarios que dará forma a la próxima ronda de borradores de regulaciones.
Peter Watson, un miembro de la junta de la Asociación de Autoalmacenamiento de California, hizo una pregunta básica:¿qué empresas deben cumplir la ley?
La CCPA solo se aplica a empresas con más de $ 25 millones en ingresos o acceso a la información personal de más de 50, 000 personas. Entonces, si una empresa de self-storage tiene la información de 10, 000 inquilinos actuales y anteriores, pero más de 50, 000 personas visitan su sitio web cada año, compartiendo así sus direcciones IP con la empresa, ¿Eso califica?
Otras preguntas giraron en torno a lo que parece una contradicción:en algunos casos, Es posible que las empresas necesiten solicitar más información personal para poder realizar la solicitud de un usuario de eliminar u obtener una copia de toda su información personal. Pueden saber que alguien llamado María García tiene 36 años, le gustan los camiones y los dramas legales, e inicia sesión regularmente desde un teléfono en el centro de Los Ángeles, pero si alguien envía un correo electrónico afirmando ser María García y solicita toda esa información sobre sí mismo, ¿Cómo puede una empresa estar segura de que es la correcta? ¿Pueden solicitar más información personal? como un correo electrónico específico o un número de seguro social, ¿para verificar?
Bo Kim, abogado de la Cámara de Comercio de California, comenzó con una petición para trasladar la fecha límite a enero de 2021, luego destacó una forma en que el proyecto de reglamento choca con los límites del conocimiento humano. Una disposición requiere que las empresas compartan, en sus políticas de privacidad, el valor de los datos personales de un usuario individual.
"La gran mayoría de las empresas afectadas por la CCPA utilizan tecnología, pero no son empresas de tecnología, "Dijo Kim." Como tal, no hay un valor particular de los datos asignados en ningún balance existente ".
El impacto más amplio de la nueva ley recae en la economía de la publicidad en línea y las empresas, incluidos los gigantes tecnológicos como Facebook y Google y empresas de medios como The Los Angeles Times, que dependen de ella.
El mecanismo central del mundo de la publicidad en línea se llama pujas en tiempo real:detrás de cada anuncio en una página web (incluido este), hay una serie de transacciones casi instantáneas.
La página en sí, mediante el uso de rastreadores digitales, recopila datos sobre el lector. Luego, la página envía esta información de usuario por la canalización junto con un cierto conjunto de reglas, como qué tipo de anuncios está dispuesto a mostrar, y a que precio. Luego, un intercambio de anuncios organiza instantáneamente una subasta para el espacio y el usuario, a menudo buscan la oferta más alta entre los compradores de anuncios que también han introducido previamente sus objetivos preferidos, precios y cómo se ven sus anuncios. Una vez que se lleva a cabo todo este proceso, en cuestión de microsegundos, aparece el anuncio.
Hoy dia, cada entidad a lo largo del camino generalmente guarda todos los datos que pueda para más adelante. Cuanta más información tenga una página sobre un usuario, cuanto más alto sea el precio que puede cobrar por un anuncio, y cada pequeña porción de información se puede agregar a un perfil de consumidor, que se puede vender a otras empresas en el futuro en busca de una audiencia más específica.
Esa práctica ha permitido a la industria de la tecnología publicitaria acumular perfiles de consumidores en millones de personas. La nueva ley faculta a los californianos a detener esa vigilancia en seco.
La CCPA no rompe la cadena de ofertas en tiempo real de transferencia de datos y visualización de anuncios, y McTaggart ha dejado claro que esa nunca fue la intención, pero permite a los usuarios optar por no participar en la segunda fase del proceso. donde sus datos se almacenan y empaquetan para ser vendidos en el futuro.
Aquellos que opten por no participar probablemente verán menos anuncios hiperorientados, los tipos que muestran a los usuarios un anuncio de un producto que dejaron sin comprar a la mitad del proceso de pago, o que parecen mostrar inquietantemente un anuncio de una tienda que visitaron unos días antes. Combinado con múltiples solicitudes de eliminación, los usuarios podrían eventualmente ver solo anuncios relacionados con la página que están visitando:anuncios de automóviles en un artículo sobre automóviles, o anuncios de entrega de comida en un sitio web de comida.
La Oficina de Publicidad Interactiva, un consorcio que incluye a la mayoría de los principales editores anunciantes, y empresas de tecnología publicitaria en EE. UU., Pasó gran parte de 2019 convocando reuniones para descubrir cómo las miles de empresas a lo largo del proceso podrían cumplir con las solicitudes de los usuarios para optar por no vender sus datos. Se le ocurrió un marco complejo de contratos y etiquetas digitales que grapan funcionalmente el deseo de un usuario de que sus datos no se vendan a los datos en sí. como una etiqueta de tinta en una mercancía.
Google inició sesión en este sistema en diciembre, y brindó a sus clientes, que incluyen la mayoría de los sitios web en Internet, un conjunto de herramientas para crear este sistema de exclusión voluntaria en sus propios sitios.
Facebook, notablemente, declaró en una publicación de blog que no necesitaba cambiar sus prácticas para cumplir con la ley. El argumento de la empresa gira en torno a las definiciones de ventas y terceros, trabajando desde la premisa de que, dado que Facebook es la única entidad que recopila y monetiza datos personales dentro de su sistema, no se dedica a la venta de datos de usuario a terceros.
Si suficientes personas optan por no participar y solicitan que se eliminen sus datos, esto podría tener el efecto de reducir los ingresos publicitarios en todos los ámbitos. Los anunciantes están dispuestos a pagar una prima por un objetivo de mayor calidad:las empresas de pañales, por ejemplo, quieren mostrar sus anuncios específicamente a las nuevas mamás, no es un visitante aleatorio del sitio web. Así es como Google, que crea perfiles basados en las búsquedas de los usuarios, uso de la aplicación, y cualquier otra información que pueda obtener de los dispositivos, se ha convertido en una empresa de 930.000 millones de dólares. Y Facebook ha cosechado recompensas similares de su tesoro de datos de comportamiento generados por los usuarios.
Pero la mayoría de los expertos de la industria parecen pensar que es poco probable que la nueva ley afecte los resultados de las empresas basadas en datos (más allá del costo del cumplimiento básico), simplemente porque es poco probable que la mayoría de los usuarios se molesten en optar por no participar.
"La gente dice que sí, "dice Ben Barokas, director ejecutivo de la empresa de gestión de cumplimiento SourcePoint. "Incluso cuando existe la opción de decir que no, tal vez el 10% de la gente dice que no "a que se vendan sus datos para mostrar publicidad más dirigida.
Reglamento general de protección de datos de Europa, o GDPR, es un punto de comparación útil. Bajo ese régimen, los usuarios tenían que optar activamente por ser rastreados en línea y vender sus datos, una disposición que algunos activistas presionaron para que se incluyera en la ley de California. Pero aún, no hay datos claros de que los ingresos publicitarios generales sufrieron caídas a largo plazo después de que la ley entró en vigor en mayo de 2018, y algunos informes muestran que el 95% de los usuarios eligen ser rastreados a cambio de acceder a sitios web y servicios.
Incluso cuando las empresas se esfuerzan por cumplir, las personas detrás de la CCPA se están preparando para introducir una nueva ronda de regulaciones de privacidad en forma de una medida electoral de 2020. Los principales cambios incluyen la creación de una agencia distinta para hacer cumplir las leyes, en lugar de dejarlo en la oficina del fiscal general, crear un sistema de suscripción para usuarios menores de 16 años, y restringir aún más el uso de lo que la iniciativa llama "información personal confidencial, "que incluye datos como la ubicación, estado de salud y orientación sexual.
McTaggart espera que la próxima ronda, con una agencia de privacidad financiada y con personal, puede establecer un nuevo estándar para Internet en su conjunto.
"Creemos que hará por la privacidad lo que hizo la Junta de Recursos del Aire de California por la calidad del aire en todo el país, "Dijo McTaggart.
Dijo que la intención no era destruir ningún negocio, sino para asegurarse de que las empresas utilizaran los datos de los consumidores de forma segura. O para extender la analogía del automóvil al smog digital de la economía de datos:"Creemos que los automóviles están bien, y entendemos que Los Ángeles tiene muchos autos, pero sería bueno ver a través de Los Ángeles en un día despejado ".
© 2019 Los Angeles Times
Distribuido por Tribune Content Agency, LLC.