A finales del mes pasado, el gobernador de Oklahoma firmó una nueva ley centrada en el consumidor que ofrece a los residentes nuevos derechos sobre sus datos, pero un experto en privacidad de datos dijo que la mayoría no notará cambios en su vida diaria.
A partir del 1 de enero, la Ley del Senado 546 establecerá nuevos derechos de los consumidores con respecto a los datos personales, incluida la exigencia de que las empresas permitan a los habitantes de Oklahoma acceder, corregir, eliminar y obtener copias de sus datos personales. También pueden optar por no vender sus datos personales y ciertas prácticas de publicidad dirigida, y crea reglas claras para las empresas que recopilan y procesan información de los residentes de Oklahoma.
La ley de Oklahoma está modelada de manera similar a la ley de privacidad de datos del consumidor de Virginia, que los defensores de la privacidad han criticado por ser demasiado amigable con las empresas y laxa en cuanto a la aplicación porque no ofrece un derecho de acción privada que permita a los ciudadanos demandar a los infractores. En cambio, ofrece a las empresas un «período de corrección» de 30 días para corregir errores antes de enfrentar sanciones.
Roshni Patel, abogada de la firma de abogados internacional Troutman Pepper Locke, dijo que la ley de Oklahoma en ciertos aspectos tiene un alcance más limitado y es más favorable a las empresas que leyes de privacidad del consumidor más estrictas y completas, pero que representa un enfoque «intermedio» para regular la privacidad de los datos.
«Algunas de las definiciones son menos estrictas que las que vemos en California y Colorado, y luego faltan algunos de los requisitos más estrictos de California», dijo Roshni.
Aquellas definiciones, como lo que constituye «información personal sensible», no incluyen cosas como datos neurales, como regula la ley de privacidad de datos de Colorado. La ley también incluye una definición más limitada de «venta de datos», limitándola a datos intercambiados por dinero. La ley de California define ampliamente las ventas de datos como transacciones que involucran «cualquier contraprestación valiosa».
Las empresas reguladas por la ley de Oklahoma, aquellas que operan en el estado y procesan datos personales de más de 100,000 consumidores o procesan los datos de 25,000 consumidores mientras obtienen la mayoría de sus ingresos por la venta de datos, también deben proporcionar avisos transparentes sobre privacidad, mantener prácticas de seguridad de datos razonables y obtener el consentimiento del consumidor antes de procesar información personal sensible.
A pesar de esto, los consumidores pueden no notar cambios, según Patel. Ella señaló que solo aquellos que «saben lo suficiente para verificar la política de privacidad» pueden ver que tienen derechos específicamente ofrecidos. Y debido a que algunas empresas optan por ofrecer estos derechos a todos los usuarios de todos modos, en lugar de intentar cumplir con un mosaico de regulaciones variables en diferentes estados, es posible que la ley de Oklahoma no cause mucho impacto.
«Algunas empresas están optando ahora, con 20 leyes estatales de privacidad en vigor o que entrarán en vigor pronto, por simplemente brindar derechos a toda la población de EE. UU. Entonces, si presentas una solicitud, la cumplirán, independientemente de dónde residas», dijo Patel. «A medida que las leyes se están volviendo ligeramente diferentes y estamos viendo más de ellas, hemos visto algún tipo de cambio hacia las empresas que ahora solo ofrecen derechos a los residentes de los estados que tienen leyes de privacidad».
Ella dijo que un cambio es que «los residentes de Oklahoma ahora tendrán derechos para ejercer con respecto al procesamiento de su información personal». Pero es un poco como tener que saber porque no hay un sistema brillante DROP, como en California.
Aunque la ley de Oklahoma puede que no destaque, Patel dijo que sigue siendo notable que los estados estén intentando regular la privacidad donde los legisladores federales han fallado. Algunos expertos han señalado que los esfuerzos por aprobar una ley nacional de privacidad de datos han sido algo eclipsados por controversias en torno a la regulación de la inteligencia artificial.
«El contexto y el momento lo hacen interesante, pero realmente no incluyeron nada demasiado notable o que resalte», dijo. «Así que parece que quieren dar a sus residentes los derechos básicos que ahora tienen los residentes de otros estados».
