¿Estás preparado para los requisitos de «No rastrear» de California?

En los últimos meses, California ha aprobado varias leyes nuevas sobre privacidad y protección de datos que afectan a los operadores de sitios web, servicios en línea y aplicaciones móviles de todo el país, incluida una ley que establece un «borrador de Internet» para menores y cambios en los requisitos de notificación de violaciones de datos del estado. El último proyecto de ley, que modifica la Ley de Protección de la Privacidad en Línea de California (California Online Privacy Protection Act, CalOPPA), da a los operadores de sitios web hasta el 1 de enero de 2014 para actualizar sus políticas de privacidad y revelar cómo responden a los mecanismos de «No rastrear» en los navegadores web. ¿Está preparado para estos nuevos requisitos de «No rastrear»?

¿Qué exige la nueva ley?

En virtud de la CalOPPA, los operadores de sitios web ya estaban obligados, entre otras cosas, a publicar de forma visible una política de privacidad que describiera las categorías de información de identificación personal que recopila el operador del sitio web o de la aplicación móvil, y con quién se comparte dicha información. Según la enmienda introducida por el proyecto de ley 370 de la Asamblea, los operadores de sitios web y aplicaciones móviles ahora están obligados a revelar a los usuarios cómo responde el sitio a los denominados mecanismos «Do Not Track» (No rastrear), que suelen ser pequeños fragmentos de código, similares a las cookies, que indican a los sitios web o aplicaciones móviles que el usuario no desea que el operador del sitio web rastree su visita al sitio, incluso a través de herramientas de análisis, redes publicitarias y otros tipos de prácticas de recopilación y seguimiento de datos.

¿Se aplican los requisitos en mi caso?

La ley se aplica a todas las empresas que recopilan información de seguimiento de residentes de California y, por lo tanto, se aplica a las empresas que operan en California y realizan un seguimiento de los residentes de California, incluso si la empresa no tiene presencia física en California.

¿Debo respetar las preferencias de «No rastrear» de los usuarios?

Cabe destacar que California no ha obligado a los operadores de sitios web y aplicaciones móviles a respetar el uso por parte del usuario de los mecanismos «No rastrear», sino solo a proporcionar al usuario información sobre cómo responderá el sitio web a dicho mecanismo.

¿Cómo puedo cumplirlo?

El operador de un sitio web puede cumplir con el nuevo requisito proporcionando «un hipervínculo claro y visible en la política de privacidad del operador a una ubicación en línea que contenga una descripción, incluidos los efectos, de cualquier programa o protocolo que siga el operador y que ofrezca a los consumidores esa opción [no ser rastreados]». El Programa de Autorregulación de la Publicidad Conductual en Línea de la Alianza de Publicidad Digital es un programa de autorregulación de uso común que ayuda a las empresas a permitir a los consumidores excluirse de la publicidad dirigida basada en el seguimiento de la actividad web.

Nota: La fecha límite para el cumplimiento es el 1 de enero de 2014.

¿Hay sanciones si no actualizo mi política de privacidad?

El incumplimiento de los nuevos requisitos podría dar lugar a multas de 2500 dólares por infracción. En lo que respecta a las aplicaciones móviles, el Fiscal General de California ha indicado que cada descarga de una aplicación móvil que no cumpla con los nuevos requisitos constituye una infracción y puede dar lugar a la imposición de la multa.

Mejores prácticas para el cumplimiento normativo

Como parte de la actualización de sus políticas de privacidad para cumplir con los nuevos requisitos de «No rastrear» de CalOPPA, los propietarios y operadores de sitios web deben adoptar las siguientes prácticas recomendadas:

1. Identificar los mecanismos de seguimiento implementados en sus sitios web y servicios en línea, incluyendo (a) los tipos específicos de información personal recopilada por el mecanismo de seguimiento y (b) si los usuarios tienen la opción de controlar si se utilizan dichos mecanismos y cómo se utilizan, y si el operador respetará la elección del usuario. La lista debe incluir los mecanismos de seguimiento utilizados por el propio operador, así como cualquier mecanismo de seguimiento implementado por terceros, incluidos anunciantes y servicios de análisis.
2. En el caso de los mecanismos de seguimiento empleados por terceros, el operador debe determinar si el mecanismo recopila información personal sobre los usuarios. Incluso si los mecanismos no recopilan información personal, es posible que el operador desee identificar los mecanismos en su política de privacidad en caso de que el operador tercero combine los datos de seguimiento con información personal sobre los usuarios que haya recopilado de otra fuente.
3. Identifique cualquier otro mecanismo que recopile información personal de los usuarios, incluidos los complementos de redes sociales. Aunque los cambios en la CalOPPA no se dirigen necesariamente a este tipo de mecanismos de recopilación de datos, los operadores deberían considerar la posibilidad de revelarlos a los usuarios en sus políticas de privacidad.
4. Incorpore la información identificada anteriormente en las divulgaciones de la política de privacidad del sitio web, incluida la información recopilada de los usuarios en el contexto del seguimiento de la actividad del sitio web, y cómo el usuario puede optar por no participar en la recopilación de esa información y/o recibir publicidad dirigida basada en la información de seguimiento.

Aquí puede consultar una copia completa del proyecto de ley 370 de la Asamblea.