Durante años, los consumidores estadounidenses han visto cómo se filtraban sus números de tarjeta de crédito, sus datos de redes sociales e incluso sus perfiles de citas en una u otra gran empresa. La filtración de datos de Equifax, el escándalo de Cambridge Analytica y las filtraciones de marcas de confianza como Target han impulsado la campaña de los defensores de la privacidad para que los consumidores tengan más control sobre sus datos. Es probable que 2021 sea su año.
Este año, no solo un único partido controla el Congreso y la Casa Blanca, sino que Kamala Harris, conocida defensora de la privacidad, tiene el voto de desempate. Si a eso le sumamos una inusual ola de apoyo bipartidista en general, se puede apostar a que se avecina un gran impulso para una ley federal de protección de datos en EE. UU., y ya era hora. Muchas de las leyes federales que regulan la privacidad y la seguridad de los datos están lamentablemente desfasadas. De hecho, la mayoría de las leyes federales vigentes a las que recurren los reguladores para hacer cumplir la privacidad de los datos en línea se promulgaron antes del surgimiento de Internet tal y como lo conocemos hoy en día.
Hemos analizado el mosaico de leyes estatales e internacionales que regulan actualmente la protección de datos para ver qué novedades podrían avecinarse. Esto es lo que cabe esperar:
Una nueva agencia federal
En la actualidad, la protección de datos es competencia de la Comisión Federal de Comercio (FTC). Creada hace más de 100 años por legisladores que ni siquiera podían imaginar una simple calculadora de bolsillo, y mucho menos la actual economía de datos en línea, la FTC necesitaría una reforma profunda o, al menos, un conjunto de herramientas totalmente nuevo para gestionar la protección de datos en línea.
Se avecinan cambios a nivel federal, ya que la Comisión Federal de Comunicaciones (FCC) ha anunciado que la comisionada Jessica Rosenworcel ha sido designada por el presidente Biden para ocupar el cargo de presidenta en funciones de la FCC. Lleva trabajando en la FCC desde 2012.
Del mismo modo, la Comisión Federal de Comercio (FTC) ha anunciado que la comisionada Kelly Slaughter ha sido nombrada presidenta en funciones de la FTC. La presidenta en funciones Slaughter es comisionada de la FTC desde 2018 y, antes de incorporarse a la FTC, ocupó el cargo de asesora jurídica principal del senador Chuck Schumer (demócrata por Nueva York).
Una nueva agencia reguladora sería una pieza clave de cualquier propuesta demócrata, según Yory Wurmser, analista principal de eMarketer. «Los republicanos quieren que las leyes federales sustituyan a las leyes estatales de privacidad, como la CCPA y la CPRA de California. Se oponen a que se conceda a los particulares el derecho a demandar en caso de fuga de datos u otra infracción», afirma. «Los demócratas defienden lo contrario y van más allá en cuanto al tipo de protección de datos que desean. Algunos incluso han propuesto la creación de una agencia nacional de protección de datos».
Wurmser señala la propuesta del senador de Ohio Sherrod Brown como un buen ejemplo de la postura inicial de los demócratas. Brown ha propuesto la Ley de Responsabilidad y Transparencia de los Datos (DATA), que crearía una agencia federal que actuaría como centro de coordinación para las reclamaciones relacionadas con la privacidad de los datos. Esta oficina también tendría la facultad de establecer normas de cumplimiento en materia de privacidad de datos y requisitos de certificación, lo que proporcionaría a las empresas un conjunto de normas que prevalecerían sobre los requisitos de cada estado. Pero es probable que también tuviera la facultad de imponer multas y requisitos que seguramente no serán del agrado de los profesionales del marketing.
Credenciales de datos para empresas y directivos
El ecosistema de datos actual es un ámbito sin reglas fijas que seguirá evolucionando con el tiempo. Las empresas recopilan muchos más datos de los que jamás podrían utilizar, y esos datos están controlados por directivos sin experiencia en gestión de datos. Cabe esperar que esto cambie con la mayoría de las nuevas propuestas sobre privacidad que se están barajando. Los planes propuestos por líderes como la senadora de Nueva York Kirsten Gillibrand otorgarían a una agencia federal de protección de datos la facultad de expedir certificaciones y otras acreditaciones a las empresas que deseen utilizar datos.
Las empresas —y, en algunos casos, sus altos directivos— tendrían que demostrar que cumplen plenamente con la normativa y que son plenamente competentes para gestionar grandes cantidades de datos de los consumidores antes de obtener la certificación necesaria para dirigir un negocio basado en datos. Aunque nadie propone que las empresas o los directivos necesiten una licencia para manejar datos de los consumidores, sí tendrían que demostrar que tienen una razón de peso para hacerlo.
Eso significaría detallar exactamente qué se pretende hacer con la información de los clientes antes de recopilarla, y demostrar que se está dispuesto y se es capaz de proporcionar a esos datos un nivel razonable de protección para evitar fugas y violaciones de seguridad. Aunque ninguna normativa es infalible, los responsables de la gestión de datos deberán recibir, como mínimo, la misma formación que un tatuador o un esteticista medio.
Ampliación: cómo define la ley los datos personales y privados
La propuesta de Brown también contiene los germen de lo que probablemente será otro elemento clave de una ley nacional de protección de datos. La ley DATA ampliaría drásticamente el alcance de lo que se considera datos personales y privados. Actualmente, la legislación federal solo abarca el tipo de información privada que probablemente se recopilaba cuando el Congreso hizo su último intento por aprobar una normativa sobre privacidad, a mediados de los años 90. Esto incluye datos como direcciones, números de teléfono e historiales médicos.
Muchas cosas han cambiado desde los últimos días de la conexión por módem. La ley de Brown prohibiría el uso de la tecnología de reconocimiento facial y clasificaría los datos faciales, así como otros datos biométricos como las huellas dactilares, como «personales y privados». Esto obligaría a las empresas que recopilan estos datos a ofrecer a los consumidores los mismos derechos que se conceden a otras formas de información privada y endurecería las sanciones por no garantizar la seguridad y la protección de los datos biométricos frente a ataques informáticos y filtraciones. En un mundo de «deep fakes», es probable que los consumidores se alegren de saber que sus rostros están, como mínimo, tan protegidos como sus números de teléfono.
Los consumidores pueden dar su consentimiento, pero no pueden negarlo
Quizás el mayor cambio que se avecina, desde el punto de vista de los profesionales del marketing, sea la transición de un modelo de «opt-out» a uno de «opt-in». Las normas de privacidad más estrictas de EE. UU. ofrecen a los consumidores la oportunidad de excluirse de forma proactiva de que sus datos sean recopilados, almacenados y utilizados con fines comerciales. Los consumidores que deseen acogerse a estas normas deben, en primer lugar, conocerlas y, a continuación, poder localizar los formularios de exclusión voluntaria específicos necesarios para que sus datos sean eliminados, suprimidos o dejen de ser recopilados.
Es probable que una nueva ley nacional de protección de datos dé un giro radical a este requisito, haciendo recaer en las empresas la responsabilidad de obtener el consentimiento antes de recopilar datos, en lugar de esperar a que los usuarios se den de baja de forma activa. Este es un principio fundamental del Reglamento General de Protección de Datos (RGPD) de la Unión Europea que los defensores de la privacidad esperan que se implante en Estados Unidos. En la práctica, esto significará que las empresas tendrán que mejorar a la hora de explicar por qué las personas deberían optar por compartir sus datos, en lugar de limitarse a disuadirlas de que se den de baja.
La necesidad de demostrar el valor
Si los consumidores tienen que dar su consentimiento para ser rastreados, los profesionales del marketing tendrán que encontrar formas de hacer que esa perspectiva resulte más atractiva. Según Yory Wurmser, «Tendrán que adaptarse para conseguir que los consumidores den su consentimiento para el seguimiento de datos… Tendrán que explicar claramente por qué necesitan los datos de los consumidores, ya sean datos de compra u otras señales de la intención de compra. Tendrán que definir realmente qué datos necesitan y por qué, y luego convencer a los consumidores para que les permitan hacer un seguimiento de ellos».
Aunque los estudios han revelado que los consumidores valoran algunos de los resultados del seguimiento de datos, como una mayor personalización, es probable que sean muy pocos los que den su consentimiento, lo que mantendría la situación actual. Los profesionales del marketing tendrán que encontrar otras formas de mostrar anuncios a las personas adecuadas sin recopilar datos de forma ilimitada sobre la mayor parte de la población.
Wurmser señala que Google y Apple ya han complicado mucho más este tipo de publicidad —que hasta hace poco era un elemento básico del ecosistema del marketing digital— al dejar de utilizar las cookies de terceros y el identificador para anunciantes (IDFA). En esencia, han ofrecido a los profesionales del marketing y a los proveedores tecnológicos un anticipo de cómo podría ser un mundo con un enfoque federal unificado en materia de privacidad, obligándoles a encontrar nuevas formas de aproximarse al marketing dirigido sin recurrir a los datos de los consumidores.
