Recientemente se aplicó la primera multa a una empresa bajo el marco normativo de protección de datos personales de California (conocido como el “CCPA”, California Consumer Privacy Act) y marca un hecho histórico en materia de privacidad online en los Estados Unidos. (1)
La empresa en cuestión es una reconocida empresa de retail de la industria cosmética – Sephora-. El Fiscal General de California anunció también que se había llegado a un acuerdo con la compañía bajo el cual ésta pagaría una multa de 1.2 millones de dólares. La multa marca la primera acción pública de aplicación de la CCPA.
Asimismo, anunció que se había llegado a un acuerdo respecto de ciertas medidas preventivas como permitir a los consumidores optar por ser excluidos de la venta de sus datos personales, clarificar en sus sitios web y política de privacidad sobre cómo se venden los datos personales de consumidores, reportar al Fiscal General respecto a las ventas de información personal, entre otros puntos. El acuerdo no requiere que Sephora asuma ni admita su responsabilidad.
Brevemente, el equipo del Fiscal General llevó adelante un relevamiento de sitios online de retailers y encontró que Sephora no había informado adecuadamente la venta de la información personal de los consumidores ni procesado correctamente las solicitudes de exclusión voluntaria de los titulares de datos realizadas a través del control de privacidad global (una extensión del navegador que permite a los usuarios ajustar sus preferencias de privacidad) para que sus datos personales no fueran puestos a la venta. En este sentido, la venta cuestionada era un acuerdo entre Sephora y terceros que monitoreaban a los consumidores mientras realizaban sus compras.
A grandes rasgos la conducta que se reprocha a Sephora es la falta de transparencia hacia los consumidores al poner a disposición de terceros -rastreadores en línea- su información personal a cambio de beneficios como ser descuentos. Además, al notificar a Sephora de la presunta violación a la CCPA, la empresa no solucionó el problema dentro del plazo legal de 30 días siguientes.
Por su parte, Sephora argumentó que la CCPA no define “venta” en el sentido tradicional del término sino que “venta” incluye prácticas comunes como las cookies que permiten a compañías brindar a sus consumidores recomendaciones relevantes de productos y personalizar su experiencia y publicidad.
El Fiscal General sostuvo que tecnologías como el control de privacidad global (Global Privacy Control) son factores clave en cómo los consumidores pueden ejercer sus derechos para proteger sus datos personales. No obstante, resaltó que rápidamente se vuelven insignificantes si las empresas esconden cómo utilizan los datos de los consumidores e ignoran las solicitudes que éstos presentan para ser excluidos de la venta de su información personal. En este sentido, el Fiscal General espera que la fuerte sanción a Sephora envíe un serio mensaje de la importancia del respeto a los derechos de los consumidores a fin de que, y habiendo pasado más de dos años desde la entrada en vigencia de la CCPA, las empresas que aún no se han ajustado a derecho, lo hagan.
Este artículo es un breve comentario sobre temas de interés general y novedades legales en Argentina. En este sentido, no pretende ser un análisis exhaustivo ni brindar asesoramiento legal.
Referencias:
- Más información en: https://oag.ca.gov/news/press-releases/attorney-general-bonta-announces-settlement-sephora-part-ongoing-enforcement
Autor:
Socio | Asesoramiento Corporativo y Reorganizaciones Societarias
ivaliente@svya.com.ar
