California está reescribiendo las reglas de internet y las empresas luchan por mantenerse al día
Una nueva ley que le permitirá optar por no participar en la economía de datos en línea entra en vigor el 1 de enero - asumiendo que las empresas pueden averiguar cómo hacer que eso suceda a tiempo.
- Share via
Una nueva ley radical que apunta a reescribir las reglas de internet en California entrará en vigencia el 1 de enero.
La mayoría de las empresas con un sitio web y clientes en California, es decir, las empresas más grandes de la nación, deben seguir el nuevo régimen, que se supone que hace que la vida en línea sea más transparente y menos aterradora para los usuarios.
El único problema: nadie está seguro de cómo funcionan las nuevas reglas.
La Ley de Privacidad del Consumidor de California comenzó con una premisa simple: las personas deberían poder saber si las compañías venden su información personal, ver qué información ya han recopilado sobre ellas y tener la opción de abandonar todo el sistema.
Las propuesta de la boleta electoral de California en detalle | Elección 2020
Pero nada es simple cuando se trata de la economía de datos en línea de alta velocidad y en gran medida opaca. Durante más de dos décadas, las compañías tecnológicas han construido un sistema profundamente complicado para rastrear los hábitos e identidades de millones de usuarios, cada segundo de cada día, y luego intercambiar o vender esa información para afinar aún más el marketing, la publicidad y la estrategia comercial.
Gracias a la complejidad técnica del sistema y la cronología apresurada para la implementación, una serie de preguntas básicas quedan sin respuesta. ¿Qué significa “vender”? ¿Cómo pueden las empresas asegurarse de que están eliminando los datos de la persona correcta? ¿Y el simple hecho de tener un sitio web que realiza un seguimiento de cuántas personas le visitan cada año significa que debe meterse en la espesura reguladora?
La oficina del Fiscal General, que tiene la tarea de interpretar y hacer cumplir la ley, sólo publicó su primera ronda de proyectos de reglamento a principios de octubre. Es poco probable que llegue una serie final hasta bien entrado 2020, y la ley no se aplicará hasta julio.
Mientras tanto, las empresas están luchando para asegurarse de no violar los principios básicos de la ley. Las grandes compañías firman acuerdos con empresas que se especializan en el cumplimiento para crear botones de “no vender mi información personal” en sus sitios (y asegurarse de que realmente funcionen).
Las pequeñas compañías están configurando cuentas de correo electrónico para atender las solicitudes de los clientes, o simplemente manteniendo la cabeza baja y apostando a que el fiscal general no se molestará en buscarlas una vez que comience la aplicación.
“No hay un abogado de privacidad en la industria que no esté trabajando las 24 horas del día en prepararse para el 1 de enero”, dijo Michael Hahn, asesor general de Interactive Advertising Bureau, un grupo industrial compuesto por compañías en línea en el ecosistema publicitario.
Comenzó cuando Alistair McTaggart, un desarrollador de bienes raíces de San Francisco, tuvo una inquietante conversación sobre privacidad digital con un ingeniero de Google en una fiesta. Decidió financiar una campaña de votación en 2018.
Los legisladores de Sacramento llegaron a un acuerdo para convertirlo en ley, e inusualmente para una ley que afectará a compañías de miles de millones de dólares, se mantuvo prácticamente sin cambios por los esfuerzos de cabildeo hasta 2019.
Titulares de Hoy
En la economía de datos, la información personal de los usuarios se puede utilizar en transacciones rápidas, como la subasta en tiempo real que se realiza detrás de cada anuncio en línea, y se almacena en bases de datos durante décadas. A veces, las empresas venden información personal (la ubicación, la edad o incluso el nombre de alguien) sin ninguna información de contacto o formas fáciles de verificar la identidad de esa persona.
El resultado es una mezcla turbia de vigilancia total y mantenimiento de registros, lo que hace sorprendentemente complejo el responder a demandas aparentemente sencillas como “dígame qué información ha recopilado sobre mí” y “deje de vender mi información”.
Para las empresas, el impacto ha sido el equivalente digital de requerir que cada conductor en el estado instale un nuevo convertidor catalítico en su automóvil o se enfrentaría a una multa, sin compartir ninguna marca o especificaciones técnicas de la actualización requerida. Un informe de 2019 encargado por la oficina del Fiscal General estimó que cumplir con la ley podría costar a las compañías afectadas $55 mil millones por adelantado, con el potencial de $16 mil millones adicionales durante la próxima década.
Los legisladores detrás de las reglas ven el caos como necesario para controlar una industria que ha estado operando sin control durante décadas.
“Realmente ha sido el Oeste Salvaje”, dice Bob Hertzberg (D – Van Nuys), el líder mayoritario del Senado del Estado de California que defendió el proyecto de ley en Sacramento. “Siempre hay un poco de revuelo, pero la clave es mantener la vista en el horizonte y hacer que sea viable pero profundamente orientado hacia el futuro en términos de protección del consumidor”.
Las empresas afectadas por las nuevas reglas dejaron de oponerse a ellas una vez que quedó claro que se convertirían en ley. Ahora sólo quieren descubrir qué está pasando.
En una reunión a principios de diciembre en Los Ángeles, representantes de poderosos grupos comerciales y personas interesadas se alinearon para expresar no tanto oposición sino confusión como parte del período de comentarios que formará la próxima ronda de proyectos de regulaciones.
Peter Watson, miembro de la junta de la Asociación de Autoalmacenamiento de California, hizo una pregunta básica: ¿qué empresas deben cumplir con la ley?
El CCPA sólo se aplica a compañías con más de $25 millones en ingresos o acceso a la información personal de más de 50,000 personas. Entonces, si una empresa de almacenamiento tiene los datos de 10,000 inquilinos actuales y anteriores, pero más de 50,000 individuos visitan su sitio web cada año, compartiendo así sus direcciones IP con la compañía, ¿eso califica?
Otras preguntas giraron en torno a lo que parece una contradicción: en algunos casos, las empresas pueden necesitar solicitar más información personal para llevar a cabo la solicitud de un usuario de eliminar u obtener una copia de todos sus datos personales.
Es posible que sepan que alguien llamada María García tiene 36 años, le gustan los camiones y los dramas legales, y regularmente inicia sesión desde un teléfono en el centro de Los Ángeles, pero si alguien envía un correo electrónico afirmando ser María García y solicita toda esa información sobre ella, ¿cómo puede una compañía asegurarse de que sea la correcta? ¿Pueden solicitar más datos personales, como un correo electrónico específico o un número de seguro social, para verificar?
Bo Kim, abogado de la Cámara de Comercio de California, comenzó con una súplica para trasladar el plazo hasta enero de 2021, luego destacó una forma en que los proyectos de regulaciones se enfrentan a los límites del conocimiento humano. Una disposición requiere que las compañías compartan, en sus políticas de privacidad, el valor de los datos personales de un usuario individual.
“La gran mayoría de las compañías afectadas por el CCPA utilizan tecnología pero no son empresas tecnológicas”, dijo Kim. “Como tal, no hay un valor particular de los datos asignados en cualquier balance existente”.
El impacto más amplio de la nueva ley recae en la economía publicitaria en línea y las empresas, incluidos los gigantes tecnológicos como Facebook y Google y las compañías de medios como Los Angeles Times, que confían en ella.
El mecanismo central del mundo de los anuncios en línea se llama oferta en tiempo real: detrás de cada anuncio en una página web (incluida esta), hay una serie de transacciones casi instantáneas.
La página en sí, mediante el uso de rastreadores digitales, recopila datos sobre el lector. Luego, la página envía esa información de usuario junto con un cierto conjunto de reglas, como qué tipo de anuncios está dispuesto a mostrar y a qué precio.
Después, un intercambio de anuncios organiza instantáneamente una subasta para el espacio y el usuario, a menudo buscando la oferta más alta entre los compradores de anuncios que también han ingresado previamente sus objetivos preferidos, precios y el aspecto de sus espacios comerciales. Una vez que todo este proceso tiene lugar, en cuestión de microsegundos, aparece el anuncio.
Hoy, cada entidad en el camino generalmente guarda los datos que pueda para más adelante. Cuanta más información tenga una página sobre un usuario, mayor será el precio que puede cobrar por un anuncio, y cada pequeña porción de datos se puede agregar a un perfil de consumidor, y podría venderse a otras compañías en el futuro en busca de más público determinado.
Esa práctica ha permitido que la industria de la tecnología publicitaria acumule perfiles de consumidores de millones de personas. La nueva ley faculta a los californianos para detener esa vigilancia en su camino.
El CCPA no rompe la cadena de ofertas en tiempo real de transferencia de datos y visualización de anuncios, y McTaggart ha dejado claro que esa nunca fue la intención, pero permite a los usuarios optar por la segunda fase del proceso, donde sus datos se almacenan y empaquetan para ser vendidos en el futuro.
Aquellos que opten por salir probablemente verán menos anuncios hiper-orientados, los tipos que muestran a los usuarios una publicidad de un producto que dejaron sin comprar a la mitad del proceso de pago, o que parecen mostrar misteriosamente un anuncio de una tienda que visitaron unos días antes.
En combinación con múltiples solicitudes de eliminación, los usuarios eventualmente podrían ver sólo publicidad relacionada con la página que están visitando: anuncios de automóviles en un artículo sobre automóviles o anuncios de entrega de comidas en un sitio web de alimentos.
Interactive Advertising Bureau, un consorcio que incluye a la mayoría de los principales anunciantes comerciales y compañías de tecnología publicitaria en EEUU, pasó gran parte de 2019 convocando reuniones para descubrir cómo las miles de empresas podrían cumplir con las solicitudes de los usuarios para optar por no tener sus datos vendidos. Se le ocurrió un marco complejo de contratos y etiquetas digitales que funcionalmente marca el deseo de un usuario de que sus datos no se vendan, como una etiqueta de tinta en una mercancía.
Google inició sesión en este sistema en diciembre y ofreció a sus clientes, que incluyen la mayoría de los sitios web en Internet, un conjunto de herramientas para construir este sistema de exclusión voluntaria en sus propios sitios.
Facebook, en particular, declaró en una publicación de blog que no necesitaba cambiar sus prácticas para cumplir con la ley. El argumento de la compañía depende de las definiciones de ventas y de terceros, partiendo de la premisa de que, dado que Facebook es la única entidad que recopila y monetiza datos personales dentro de su sistema, no realiza ventas de datos de usuarios a terceros.
Si suficientes personas optan por no participar y solicitan que se eliminen sus datos, esto podría tener el efecto de reducir los ingresos publicitarios en todos los ámbitos. Los anunciantes están dispuestos a pagar una prima por un objetivo de mayor calidad: las compañías de pañales, por ejemplo, quieren mostrar sus anuncios específicamente a las nuevas mamás, no a un visitante aleatorio del sitio web.
Así es como Google, que crea perfiles basados en las búsquedas de los usuarios, el uso de la aplicación y cualquier otra información que pueda obtener de los dispositivos, se ha convertido en una compañía de $930 mil millones. Y Facebook ha cosechado recompensas similares de su tesoro de datos de comportamiento generado por el usuario.
Pero la mayoría de los expertos de la industria parecen pensar que es poco probable que la nueva ley afecte el resultado final de las empresas basadas en datos (más allá del costo del cumplimiento básico), simplemente porque con seguridad la mayor parte de los usuarios no se molestarán en darse de baja.
“La gente dice que sí”, señala Ben Barokas, director ejecutivo de la empresa de gestión de cumplimiento SourcePoint. “Incluso cuando existe la opción de decir que no, tal vez el 10% de las personas optan por un no” a que se vendan sus datos para mostrar una publicidad más específica.
El Reglamento general de protección de datos de Europa, o GDPR, es un punto de comparación útil. Bajo ese régimen, los usuarios tenían que optar activamente por ser rastreados en línea y vender sus datos, una disposición que algunos activistas presionaron para que se incluyera en la ley de California.
Pero aún así, no hay información clara de que los ingresos publicitarios generales hayan disminuido a largo plazo después de que la ley entró en vigencia en mayo de 2018, y algunos informes muestran que el 95% de los usuarios eligen ser rastreados a cambio de acceso a sitios web y servicios.
A pesar de que las empresas se esfuerzan por cumplir, las personas detrás del CCPA se están preparando para introducir una nueva ronda de regulaciones de privacidad en forma de una medida de votación en 2020.
Los principales cambios incluyen la creación de una agencia distinta para hacer cumplir las leyes, en lugar de dejarla a la oficina de la AG, crear un sistema de suscripción para usuarios menores de 16 años y restringir aún más el uso de lo que la iniciativa llama “información personal confidencial”. Que incluye datos como la ubicación, el estado de salud y la orientación sexual.
McTaggart espera que la próxima ronda, con una agencia de privacidad financiada y dotada de personal, pueda establecer un nuevo estándar para el Internet en su conjunto.
“Creemos que hará por la privacidad lo que hizo la Junta de Recursos del Aire de California por la calidad del aire en todo el país”, dijo McTaggart.
Señaló que la intención no era destruir ningún negocio, sino asegurarse de que los negocios estuvieran utilizando los datos del consumidor de manera segura. O para extender la analogía del automóvil y el smog en la economía de datos: “Creemos que los automóviles están bien, y entendemos que Los Ángeles tiene muchos autos, pero sería bueno ver L.A. en un día despejado”.
Para leer esta nota en inglés, haga clic aquí
Suscríbase al Kiosco Digital
Encuentre noticias sobre su comunidad, entretenimiento, eventos locales y todo lo que desea saber del mundo del deporte y de sus equipos preferidos.
Ocasionalmente, puede recibir contenido promocional del Los Angeles Times en Español.
