Definitivamente, algo está cambiando. Hace apenas dos semanas comentábamos la gran diferencia entre la normativa europea y la norteamericana a la hora de proteger (y definir) la privacidad de los ciudadanos. Básicamente, en Europa hay una fuerte tradición al respecto, con protección constitucional y legislativa de por medio en materia de protección de datos personales, y en Estados Unidos ha sido clamorosa la ausencia de una protección mínimamente equiparable… ¡Hasta hoy!
Acaba de publicarse un Proyecto de Ley Federal en Estados Unidos que bien podría tratarse del primer paso real hacia una LOPD norteamericana: se trata del “Staff Discussion Draft for a Bill to require notice to and consent of an individual prior to the Collection and disclosure of certain personal information relating to that individual” (Borrador de Proyecto de Ley Federal para requerir la notificación y consentimiento de una persona antes de la recolección y divulgación de cierta información personal sobre la misma).
Esta importante iniciativa legislativa, coincide en el tiempo con la aprobación final en México de la esperada Ley Federal de Protección de Datos Personales en posesión de los particulares.
Sin duda, estos son los últimos frutos del camino iniciado el pasado noviembre durante la 31 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad celebrada en Madrid y auspiciada por la AEPD, donde se adoptó un texto común de Estándares Internacionales sobre Protección de Datos y Privacidad (También denominado “la Resolución de Madrid”). Dicho documento pretendía servir de base para futuras normativas en la materia adoptadas por países sin tradición al respecto y, sin duda, está consiguiendo dicho objetivo.
Y es que el pasado 20 de abril, ni más ni menos que 10 Autoridades nacionales de protección de datos lanzaron un comunicado conjunto para exigir a Google y otras multinacionales de Internet el respeto por las normas de privacidad en el lanzamiento de nuevos servicios. Dicho comunicado, que se materializó en una carta abierta, fue presentado por Canadá, España, Israel, Francia y Holanda mediante rueda de prensa en Washington DC. Es decir, en la capital de un país que no cuenta con dichas normas en su legislación federal… Hasta ahora, como hemos visto.
Pero ¿Cuál es el contenido de este Proyecto de Ley Federal norteamericana? ¿Es una verdadera LOPD?
Pues no exactamente, pero vamos a hablar brevemente del contenido de este borrador en comparación con nuestra Ley Orgánica de Protección de Datos (salvando las distancias, claro). Lo resumimos en los siguientes puntos destacados:
1. Su ámbito es más limitado que el de la LOPD: se aplica sólo sobre entidades que no sean gubernamentales y que recaben datos de más de 5.000 personas al año.
2. A diferencia de la LOPD que protege cualquier información personal, el Proyecto de Ley Federal especifica los datos protegidos (“covered information”) que son: nombre, dirección, teléfono, email, identificación biométrica (huellas, retina…), números de identificación documental, datos financieros, nick o número IP en Internet, perfil de preferencias o cualquier otra información recabada en conexión con estos datos.
3. El Proyecto de Ley Federal comparte la definición esencial de “datos sensibles” de la LOPD (datos de salud, raza, religión, orientación sexual) pero añade dos nuevos tipos de datos aquí: datos financieros (saldos y movimientos de cuentas) y, como nota curiosa, datos de “geolocalización” exacta de personas.
4. En cuanto a la información obligatoria a facilitar al ciudadano a la hora de recabar sus datos, en el Proyecto de Ley Federal es sustancialmente más amplia que la exigida en la LOPD. En concreto, el Proyecto incluye: la identidad de la entidad destinataria, la descripción de la información recabada, cómo se recaba la misma, su finalidad, cómo se almacena, cómo se combina o enlaza con otra información recabada de terceros, cuanto tiempo la conserva de modo identificable, cómo se hace anónima, la finalidad para la que se puede ceder a terceros, los medios para que los interesados accedan, pregunten, limiten o prohíban su tratamiento; medio de notificación de cambios en la política de privacidad; la fecha de dicha política y un enlace a la web de la Autoridad Federal competente (la FTC). Esta información, sin embargo, sólo será exigible para los datos recabados por Internet, no si se obtienen por otros medios.
5. En cuanto al consentimiento, el Proyecto de Ley Federal obliga a obtenerlo de forma expresa o tácita, pero siempre previa notificación de la información descrita (o de sus modificaciones ulteriores) al interesado, con el procedimiento para manifestar su autorización u oposición, actual o posterior. Dicho consentimiento se exigirá siempre en el caso de finalidad de marketing, publicidad, venta o cesión de datos a otras entidades distintas. Asimismo, en el caso de datos sensibles será siempre expreso.
6. La Autoridad Federal competente para controlar su cumplimiento y sancionar, en su caso, (es decir el equivalente a nuestra AEPD) será la Federal Trade Commission (FTC) o Comisión Federal de Comercio.
7. Finalmente, destacamos que se excluye el ejercicio de Acciones Civiles directas de los particulares contra las entidades incumplidoras. Un punto polémico pero hasta cierto punto comprensible habida cuenta de las cuantiosas indemnizaciones que obtienen los particulares en acciones civiles en Estados Unidos (nada que ver con las nuestras) uniendo su condición “punitiva” y no sólo reparadora del daño.
¿Nos encontramos pues ante el germen de una futura LOPD para Estados Unidos? El tiempo lo dirá pero sin duda supondrá un importante precedente si se aprueba finalmente este Proyecto de Ley Federal, aunque sea en un ámbito tan restringido, ubicado dentro de la normativa de protección de consumidores y usuarios norteamericana.
Trackbacks/Pingbacks