Posibles multas bajo las leyes de protección de datos de Estados Unidos
¿Qué posibles multas podría enfrentar un negocio por infringir las nuevas leyes estatales de protección de datos de Estados Unidos?
A pesar de no existir una ley federal de protección de datos en Estados Unidos, cada vez son más leyes estatales que regulan esta materia, imponiendo sus propias multas por infracciones. Mientras que algunas de estas leyes comenzarán a aplicarse desde finales de 2024 hasta principios de 2025 y hasta 2026, varias ya están activas. Por lo tanto, las empresas que infrinjan sus disposiciones podrían enfrentarse a sanciones significativas. Una de las leyes de privacidad a nivel estatal pioneras, la Ley de Privacidad del Consumidor de California (CCPA), que ha estado vigente desde enero de 2020, fue determinante en un acuerdo con Google que se alcanzó recientemente por un importe de 93 millones de dólares, tras acusaciones de que sus prácticas de privacidad sobre los datos de localización violaban las leyes de protección al consumidor de California. El acuerdo fue el resultado de una investigación de varios años realizada por el Departamento de Justicia de California que determinó que Google estaba recopilando, almacenando y utilizando datos de localización para la elaboración de perfiles de consumidores y fines publicitarios sin consentimiento informado. Además de pagar 93 millones de dólares, Google también aceptó una serie de condiciones para disuadir futuras conductas indebidas.
Bajo algunas leyes de protección de datos de EEUU, como la CCPA, el Fiscal General podrá imponer multas por cada infracción, y los consumidores también tienen derecho a reclamar daños.
Bajo la CCPA, las empresas pueden incurrir en multas de hasta 7.500 dólares por infracción intencional y hasta 2.500 dólares por infracción no intencional, con la oportunidad de corregir las infracciones no intencionales dentro de los 30 días para evitar multas. Además, con esta legislación, existe una disposición para el derecho de acción privada de los ciudadanos, que permite a los consumidores reclamar daños entre 100 y 750 dólares por incidente, o daños reales si son mayores, por acceso no autorizado, robo o divulgación de sus datos personales no encriptados y no anonimizados. Esas multas potenciales otorgadas por el Fiscal General de California podrían parecer bastante insignificantes en comparación con otras normativas como el RGPD, pero cabe destacar que el Fiscal General de California impone multas por cada caso de infracción o por cada consumidor afectado por incidente por separado. Lo que es aún más importante destacar es que no hay un límite superior para la cuantía total de las multas de la CCPA, por lo que esta puede aumentar considerablemente.
Un solo incidente podría resultar en varias infracciones, dependiendo del número de consumidores afectados y del número de leyes estatales aplicables.
En el caso de una infracción no intencional que afecte a 10.000 consumidores, este incidente sería considerado por el Fiscal General como 10.000 infracciones individuales, lo que resultaría en una multa potencial de 25 millones de dólares. Si las infracciones se consideraran intencionales, esto ascendería a 75 millones de dólares. Con los consumidores también autorizados a reclamar daños bajo la CCPA debido al derecho de acción privada, también son posibles las demandas por daños estatutarios que oscilarían entre los 100 y los 750 dólares por infracción. Debe destacarse sin embargo que este derecho de acción privada de los ciudadanos no se aplica a otras leyes de privacidad de datos estatales de EEUU que ya están en vigor, como la Ley de Privacidad de Colorado (CPA), la Ley de Privacidad de Datos de Connecticut (CDPA), la Ley de Privacidad del Consumidor de Utah (UCPA) y la Ley de Privacidad de Datos del Consumidor de Virginia (VCDPA). En cualquier caso, estas leyes comparten muchas similitudes a este respecto. Por esta razón, si los datos afectados en el caso de una infracción masiva incluyen datos de consumidores dentro de varios estados, es muy probable que la empresa esté sujeta a sanciones en múltiples estados. Además, un solo incidente podría convertirse en varios miles de infracciones en varios estados con leyes de privacidad ya aplicables. Para finales de 2024, la Ley de Privacidad de Datos del Consumidor de Montana (MCDPA), la Ley de Privacidad del Consumidor de Oregón (OCPA) y la Ley de Privacidad y Seguridad de Datos de Texas (TDPASA) también habrán comenzado a aplicarse y deberán ser tomadas en cuenta en consecuencia.
Se alienta a las empresas a implementar una estrategia de protección de datos para garantizar la protección de los datos personales de los consumidores y el cumplimiento de las leyes de protección de datos.
Para evitar multas por infringir las leyes de protección de datos de EEUU, se aconseja a las empresas adoptar varias prácticas clave. Será necesario que las empresas realicen una evaluación de las leyes que son aplicables según sus actividades. Es preciso reiterar que muchas de estas leyes estatales comparten similitudes, lo que significa que en algunos casos, una sola acción puede ser suficiente para garantizar el cumplimiento en varias regulaciones, agilizando el proceso para las empresas en la protección de datos personales. Sin embargo, implementar una política interna de protección de datos es crucial. Esta política debe describir claramente cómo la empresa protege los datos personales, asegurando que todos los miembros de la organización comprendan su papel en la protección de la información personal que tratan. Cualquier persona dentro de la organización que tenga acceso a datos personales debe recibir una formación integral sobre el cumplimiento con esta política para evitar infracciones. Además, las empresas deberán tomar medidas proactivas para protegerse contra el acceso, uso o divulgación no autorizados de datos personales. En caso de una brecha de datos personales, será primordial actuar rápidamente para notificar a las personas afectadas, así como tomar medidas para mitigar el daño.
Si tienes dudas sobre cómo cumplir con las leyes de privacidad de Estados Unidos o necesitas ayuda para revisar tus prácticas de protección de datos, contacta con Aphaia hoy y te diremos cómo hacerlo.
