Para terminar la serie de tres post (los dos anteriores, aquí y aquí), sobre el proyecto de ley (o guide line, depende de si pasa o no la aprobación del Congreso) de la privacidad en Estados Unidos, toca ahora analizar los principios seguridad, derecho de acceso, rectificación y cancelación de datos, y, finalmente, el principio de responsabilidad.

En lo que se refiere al principio de seguridad, el texto proporciona un brindis al sol, que refleja (creo) cuán poco se esfuerza el legislador estadounidense para que el «Consumer Data Privacy» se transforme en ley. Acostumbrado a los textos legales de la UE, donde una norma no tiene (casi) valor si no va acompañada por una sanción que funcione como deterrente en caso de violación de la misma, causa estupor el candor del texto que, más o menos, viene a decir: «La pérdida de datos personales es una mala imagen para la empresa que no cumple con estándares de seguridad apropiados. Este temor es un significativo incentivo para evitar estas pérdidas» (traducción muy personal de la pág. 19 del texto). ¿Alguien se puede imaginar una LOPD sin sanciones en España? ¿Cuántas empresas la cumplirían?

Más interesante me parece el derecho al acceso y a la rectificación de los datos tratados por las empresas. El derecho de acceso, en realidad, es una expresión más del «Individual Control«, del que ya se ha hablado. Sancionar el derecho de rectificación, sin embargo, es muy importante para los consumidores estadounidenses porque actualmente, más allá de los casos en los que sea aplicable la «Health Insurance Portability and Accountability Act (HIPAA)» o el «Fair Credit Reporting Act«, actualmente, los consumidores no pueden corregir datos erróneos en manos de empresas. ¡Asombroso!

El derecho de cancelación está construido de forma peculiar, es decir: los usuarios tienen el derecho de solicitar el borrado de sus datos personales, pero sólo cuando éstos no sean ya necesarios para las empresas. Tal y como está descrito, parece que un consumidor que haya solicitado la baja del servicio no necesariamente podrá solicitar también la cancelación de sus datos (una vez que hayan prescrito las eventuales responsabilidades civiles), porque las empresas podrían argumentar que esos datos todavía tienen una utilidad para ellas. Para los incrédulos «currelas» de la protección de datos europeos, pueden consultar el texto original en la pág. 21. Es como decir: «Lo que el contrato ha unido, el hombre no podrá separar». Amen.

Finalmente, llegamos al principio de responsabilidad. Aquí uno se espera que el texto proponga sanciones económicas para las empresas que pierdan datos personales o permitan accesos no consentidos a los mismos. Pues, no, nada de eso. Se trata de un principio según el cual los consumidores tienen el derecho a que las empresas sean sometidas, por las autoridades competentes, a adherir a estos principios, a formar a sus trabajadores (ojo, a ver si se abre un mercado ultramar para los piratas LOPD) y a someterse a auditorías periódicas. ¿Y qué pasa si no se someten? Pues, de momento, nada, más o menos como en España.

Un último apunte como cierre de estas breves e informales notas. Se habla a lo largo de todo el texto de «consumidores» y no de «interesados» o «afectados», como se hace en la legislación europea. Eso quiere decir que, si no existe relación comercial, no habrá protección de datos.

That’s all,folks.