EXCLUSIVA DE DRONELIFE: Una Nueva Ley de Privacidad de California podría Cambiarlo todo para los Operadores de drones en los EE.UU.

Una nueva ley de privacidad de California podría cambiarlo todo para los operadores de drones en el estado, y podría usarse como modelo en todo el país.

El siguiente es un post invitado de abogados de la firma de abogados Mintz, Levin, Cohn, Ferris, Glovsky y Popeo, P. C. Este artículo fue escrito por Cynthia Larose, Laura Stefani, Jonathan Markman y Elana R. Safner.

Los Operadores de Drones Se Enfrentan a un Nuevo Desafío: La CCPA

Es 2020, y la bola de cristal no es lo único que se cayó. El 1 de enero marcó el comienzo de un nuevo año, una nueva década y la implementación de la Ley de Privacidad del Consumidor de California de 2018 («CCPA»). Mientras que las empresas que son recopiladores y procesadores de información personal («PI») más tradicionales se han estado preparando para la fecha de implementación de la CCPA, muchas otras empresas que recopilan PI solo de manera incidental pueden verse atrapadas por el amplio alcance de la ley de privacidad de datos de mayor alcance del país.

¿Dónde deja esto a empresas como los operadores de drones que solo casualmente crean y almacenan imágenes de cámara con información personal como imágenes de rostros durante el curso de llevar a cabo su propósito comercial? ¿Qué pasa si estas compañías nunca hacen ningún esfuerzo para identificar esa información personal? Como se explicará en este artículo, dichas empresas no están eximidas del cumplimiento de la CCPA y deben considerar cuidadosamente sus prácticas comerciales y los próximos pasos para cumplir con la CCPA.

Este problema surge porque la CCPA define la «información personal» de manera muy amplia, mientras que las excepciones a la definición, como la información disponible públicamente y la información no identificada, se definen de manera bastante restringida. Estas decisiones deliberadas de la legislatura de California hacen de la CCPA la ley de privacidad de los Estados Unidos más amplia hasta la fecha. También asignan obligaciones a determinadas empresas y proveedores de servicios que se dedican a prácticas comerciales, como la recopilación involuntaria de imágenes de rostros, que por lo general no habían sido afectadas por otras leyes de privacidad en los Estados Unidos. Este artículo establece los temas a considerar y un conjunto de elementos de acción para que dichas empresas trabajen hacia el cumplimiento de la CCPA.

¿Por qué Deberían Preocuparse los Operadores de Drones?

El CCPA se aplica a una gama de datos inesperadamente amplia. Una idea errónea sobre la CCPA es que solo se aplica en el contexto de la recopilación directa de información personal de los consumidores a través de métodos como compras en línea, historiales de búsqueda, cookies y otras preferencias de comportamiento. En realidad, la definición de PI de la CCPA arroja una red mucho más amplia. También se aplica a la PI recopilada dentro y fuera de línea.

En virtud de la CCPA, la «información personal» se define como «información que identifica, se relaciona, describe, es razonablemente capaz de asociarse con, o podría vincularse razonablemente, directa o indirectamente, con un consumidor o hogar en particular.»Esto incluye, entre otras cosas, información biométrica, como rostros capturados por drones, cámaras de vigilancia y otros medios de grabación de video. «Información Personal» excluye específicamente la información disponible públicamente. Uno podría pensar razonablemente que la presencia y el rostro de una persona al aire libre o en una propiedad pública podrían considerarse accesibles al público. Sin embargo, la CCPA adopta una posición diferente. Afirma: «‘ublicly available’ no significa información biométrica recopilada por una empresa sobre un consumidor sin el conocimiento del consumidor.»Esto significa que las fotos y los videos, y también los datos de audio, térmicos, olfativos y otros, entran en la definición de información personal. Es importante destacar que la IP recogida por vídeo no tiene que estar vinculada de hecho por la empresa al consumidor, sino que solo puede estar vinculada de forma razonable «directa o indirectamente».

Pero no identificamos los Datos!

Las definiciones de estos términos plantean muchas preguntas sobre cómo se aplicará la CCPA en determinados contextos. Aunque la información disponible públicamente está exenta de la definición de información personal, vemos que esto no exime necesariamente a los operadores de drones del cumplimiento de la CCPA, como se describió anteriormente. La CCPA también exime la información no identificada. Seguramente esto salvará a las compañías de drones y a otros coleccionistas de material de video incidental de las obligaciones de la CCPA? Después de todo, estas empresas no vinculan las caras que han recopilado con personas reales, y mucho menos intentan construir cualquier tipo de perfil de comportamiento basado en esa información.

La legislatura de California consideró-y no aprobó – una enmienda (AB-873) que habría resuelto este problema. Es probable que el CCPA fue, en parte, la intención de abordar el riesgo de que aunque el negocio de la recolección de la PI no busca identificar, PI puede ser violado y re-identificado con un exterior del conjunto de datos. AB-873 habría abordado las preocupaciones operativas de empresas como las compañías de drones que recolectan PI de manera incidental, en lugar de intencionalmente durante el curso normal de los negocios. La información desidentificada no se considera información personal bajo la CCPA, y AB-873 habría ampliado la definición de «desidentificada» para incluir cualquier información que «no identifique y no sea razonablemente vinculable» con un consumidor. La legislatura finalmente restringió la definición de «información personal» para incluir solo información «razonablemente» capaz de asociarse con un consumidor o hogar, lo que da a las compañías de drones y a las que se encuentran en una situación similar motivo de optimismo. Es posible que puedan argumentar que los pasos que ellos u otras empresas tendrían que tomar para vincular realmente su información no son razonables. No está claro, sin embargo, qué tribunales interpretan la ley considerarán «razonable».»Es posible que necesitemos confiar en las medidas de aplicación para interpretar el alcance de la «razonabilidad».»Con bases de datos de reconocimiento facial robustas ahora ampliamente disponibles, se podría argumentar de cualquier manera.

La CCPA plantea muchas otras preguntas. Por ejemplo, ¿puede un dron volando a la altitud permitida legalmente capturar imágenes razonablemente identificables de rostros? ¿Cuenta si el video debe ampliarse para que las caras se puedan vincular razonablemente con las personas? ¿Tiene un consumidor «conocimiento «de la recopilación de material de archivo o información biométrica, haciendo así que la información esté» disponible públicamente » y fuera de la CCPA, si una empresa publica carteles que indican que el material de archivo de video y/o la vigilancia se recopilan en un área? Si es así, ¿cuántas señales y dónde deben publicarse para imputar conocimiento?

¿Y qué?

La CCPA otorga a los consumidores varios derechos con respecto a su IP en poder de las empresas, incluido el derecho a optar por no vender la IP, el derecho a conocer la IP que se ha recopilado sobre ellos, el derecho a la portabilidad de los datos, el derecho a solicitar la eliminación de la información personal y el derecho a la no discriminación por haber ejercido sus derechos en virtud de la ley. Además de los numerosos requisitos sobre cómo se debe informar a los consumidores de estos derechos a través de avisos de privacidad, las empresas también se enfrentarán al desafío de crear procesos comerciales para cumplir con estas solicitudes cuando las reciban.

Estos desafíos son particularmente agudos para empresas como los operadores de drones, que no procesan el tipo de información que la CCPA considera PI en primer lugar. Significativamente, el reciente borrador de regulaciones de la CCPA del Fiscal General de California aclaró que » si una empresa mantiene información del consumidor que está desidentificada, una empresa no está obligada a proporcionar o eliminar esta información en respuesta a una solicitud del consumidor o a volver a identificar datos individuales para verificar una solicitud del consumidor.»Las empresas deben evitar recopilar nueva información personal, a menos que sea necesaria para verificar las solicitudes de los clientes. Esto podría respaldar los argumentos de las empresas de drones o vigilancia de que simplemente no pueden satisfacer el derecho de los clientes a saber o el derecho a eliminar solicitudes porque no pueden verificar la identidad del solicitante o volver a identificar sus imágenes sin obtener una nueva PI. Este es un tema abierto para el que actualmente no hay una respuesta clara en el marco de la CCPA, y no está claro si los datos faciales no borrosos se considerarán no identificados.

Elementos de acción

Para dar una idea de la aplicación planificada de la ley en California, el Fiscal General Xavier Becerra dijo: «miraremos amablemente a aquellos que . . . demostrar un esfuerzo para cumplir.»Eso significa que incluso si las empresas no son razonablemente capaces de satisfacer todas las solicitudes de los consumidores, deben hacer todo lo posible para cumplir con otras partes de la ley.

Para prepararse para la implementación de CCPA, las compañías de vigilancia y drones deben:

• Actualizar sus políticas de privacidad para explicar sus procesos, derechos del cliente, recopilación incidental de PI y otros usos de datos en «inglés sencillo»
• Revisar sus políticas de privacidad para que los clientes sepan que no venden PI (si, de hecho, no lo hacen)
• Revisar los fines comerciales de su recopilación de PI y asegurarse de que su política de retención sea por un período de tiempo no superior al necesario para esos fines
• desidentificar tantos datos como los objetivos comerciales permitan, incluidas las caras borrosas siempre que sea posible.Esto incluye:
  • implementar medidas de seguridad técnicas que prohíban la reidentificación del consumidor al que pueda pertenecer la información,
  • implementar procesos comerciales que prohíban específicamente la reidentificación de la información,
  • implementar procesos comerciales para evitar la divulgación inadvertida de información no identificada, y
  • no intentar volver a identificar la información.
• Si son proveedores de servicios, revisar sus acuerdos con sus clientes comerciales
• Implementar procesos para que los clientes realicen solicitudes y ejerzan sus derechos bajo la ley
• Si ciertas solicitudes o categorías de solicitudes no pueden satisfacerse debido a la naturaleza de la recopilación de datos de la empresa, determine cómo se manejarán. Las solicitudes no pueden ser simplemente ignoradas!

¿Qué sigue?

La transición no parece ser fluida. Debido al amplio alcance de la ley y a las muchas preguntas que deja sin respuesta, es probable que muchas empresas ni siquiera se den cuenta de que la ley se les aplicará. Una encuesta publicada en noviembre por Osterman Research y Egress Software Technologies encontró que solo el 48 por ciento de las empresas dijeron que cumplirían con los requisitos para finales de 2019. Pero con sanciones potenciales de hasta 2 2,500 por violación o 7 7,500 por violación intencional, las empresas no preparadas están asumiendo un gran riesgo comercial. La Procuradora General Becerra no emitirá ninguna sanción bajo la CCPA hasta el 1 de julio de 2020, dando a las compañías seis meses adicionales para ajustarse a los nuevos requisitos. Pero si se produjeron violaciones significativas durante ese período de seis meses, el Fiscal General conserva la discreción de «volver la mano».»Ofreciendo a las compañías otro pequeño punto de consuelo, la CCPA autoriza un derecho de acción privado solo para infracciones que involucren la PI no redactada y sin cifrar de los consumidores de California, no para otras violaciones de la CCPA.

Muchas empresas citan las numerosas áreas grises y la falta de claridad como un obstáculo importante para el cumplimiento. Las regulaciones publicadas por la oficina del GC aclararon algunas cuestiones, pero muchas preguntas sobre la implementación de la CCPA siguen sin resolverse. La oficina del Fiscal General está revisando los comentarios públicos que recibió sobre su proyecto de reglamento, pero parece probable que las preguntas sin respuesta de la ley se resuelvan a través de acciones de ejecución, litigios o, posiblemente, aclaraciones legislativas mucho después de que la ley haya entrado en vigor. Eso significa que las empresas tendrán que encontrar una línea de visión y volar hacia adelante a través de la niebla.

Los siguientes representantes de Mintz, Levin, Cohn, Ferris, Glovsky y Popeo, PC fueron autores de este artículo.

Cynthia Larose es Presidenta de la Práctica de Ciberseguridad de Mintz & Una Profesional Certificada de Privacidad de la Información-EE.UU. (CIPP-EE. UU.) y una Profesional Certificada de Privacidad de la Información-Europa (CIPP-E). Trabaja con clientes en diversas industrias para desarrollar programas integrales de seguridad de la información en el front-end, y proporciona asesoramiento oportuno cuando se hace necesario responder a una violación de datos.

Laura Stefani asesora a los clientes que buscan llevar al mercado nuevas tecnologías inalámbricas en cuestiones regulatorias. Sus áreas de enfoque incluyen tecnologías inalámbricas sin licencia y con licencia, aeronaves no tripuladas, satélites, dispositivos médicos e Internet de las Cosas.

Jonathan Markman se centra en tecnologías inalámbricas y emergentes, con un énfasis particular en UAS (comúnmente conocidos como drones) y espectro inalámbrico. Tiene experiencia en procedimientos y normativas de la FCC y la FAA, quejas formales e informales e investigaciones de la FCC, así como en la presentación y procesamiento de solicitudes ante la FCC y la FAA.

Elana Safner (CIPP-US) asesora a clientes en asuntos de política pública, asuntos regulatorios y disputas que afectan al sector TechComm, así como asuntos de privacidad y ciberseguridad. También tiene experiencia en procedimientos y normativas de la FCC.