La Ley de Protección de la Privacidad en Línea de California de 2003 ( CalOPPA ), [1] vigente a partir del 1 de julio de 2004 y modificada en 2013, es la primera ley estatal de los Estados Unidos que exige que los sitios web comerciales en la World Wide Web y los servicios en línea incluyan una política de privacidad en su sitio web. De acuerdo con esta Ley del Estado de California , en virtud del Código de Negocios y Profesiones, División 8 Regulaciones Comerciales Especiales, Capítulo 22 Requisitos de Privacidad en Internet , los operadores de sitios web comerciales que recopilan Información de Identificación Personal (PII) de los residentes de California deben publicar de manera visible y cumplir con una política de privacidad que cumpla con requisitos específicos. [2] Un operador de sitio web que no publique su política de privacidad dentro de los 30 días posteriores a ser notificado sobre el incumplimiento se considerará en violación. La PII incluye información como nombre, dirección postal, dirección de correo electrónico, número de teléfono, fecha de nacimiento, número de Seguro Social u otros detalles sobre una persona que podrían permitir que un consumidor sea contactado físicamente o en línea.
Según la ley, el operador de un sitio web debe publicar un enlace distintivo y fácil de encontrar a la política de privacidad del sitio web , que suele aparecer bajo el título "Sus derechos de privacidad en California". La política de privacidad debe detallar los tipos de información recopilada por el sitio web, cómo se compartirá o podría compartir la información con otras partes y, si existe dicho proceso, describir el proceso que los usuarios pueden utilizar para revisar y realizar cambios en su información almacenada. También debe incluir la fecha de vigencia de la política y una actualización sobre los cambios que se hayan producido desde entonces.
El propietario de un sitio web puede ser objeto de acciones legales en virtud de la CalOPPA dentro de los 30 días posteriores a la notificación por no publicar la política de privacidad o por no cumplir con los criterios de la ley. El propietario podría ser culpado por su negligencia , posiblemente incluso de manera consciente, por su incapacidad para cumplir con la ley, lo que finalmente da lugar a la presentación de cargos en su contra por este incumplimiento. [3]
Las violaciones por incumplimiento de CalOPPA se pueden informar a la oficina del Fiscal General de California a través de su sitio web. [4] [2]
La ley tiene un amplio alcance que va mucho más allá de las fronteras de California. Ni el servidor web ni la empresa que creó el sitio web tienen que estar en California para estar bajo el alcance de la ley. El sitio web solo tiene que ser accesible para los residentes de California. [5] Por ello, muchos sitios web estadounidenses incluyen una exención de responsabilidad estándar , generalmente bajo el hipervínculo titulado "Sus derechos de privacidad en California", en la sección de pie de página de su sitio de forma predeterminada para el acceso a todas las páginas. [6]
Como no contiene disposiciones de cumplimiento propias, se espera que la CalOPPA se haga cumplir a través de la Ley de Competencia Desleal de California (UCL, por sus siglas en inglés) [7] , que prohíbe los actos o prácticas comerciales ilegales, injustos o fraudulentos. La UCL puede hacerse cumplir por violaciones de la CalOPPA por parte de funcionarios gubernamentales que buscan sanciones civiles o reparación equitativa, o por partes privadas que buscan reclamos privados. [8]
Las violaciones de incumplimiento pueden denunciarse en el sitio web de la oficina del Fiscal General de California.
En mayo de 2007, para acceder a la política de privacidad de Google era necesario hacer clic en "Acerca de Google" en su página de inicio, lo que abría una página que incluía un enlace a su política de privacidad. El periodista del New York Times Saul Hansell publicó una entrada en su blog [9] planteando preguntas sobre el cumplimiento de esta ley por parte de Google. Una coalición de grupos de privacidad también envió una carta [10] al director ejecutivo de Google, Eric Schmidt , cuestionando la ausencia de un enlace a la política de privacidad en su página de inicio. Según el director del Centro de Información sobre Privacidad Electrónica , Marc Rotenberg , no se presentó una demanda que cuestionaba las prácticas de política de privacidad de Google como una violación de la ley de California con la esperanza de que sus quejas informales pudieran resolverse mediante discusiones. [11] Más tarde, Google agregó un enlace directo a su política de privacidad en su página de inicio. [12]
El proyecto de ley 370 de la Asamblea (Muratsuchi), que se convirtió en ley en 2013, modificó la CalOPPA y exigió que se incluyeran nuevas divulgaciones de políticas de privacidad para los sitios web y servicios en línea que rastrean a los visitantes. En el análisis legislativo del proyecto de ley se definió como "el seguimiento de un individuo en varios sitios web para crear un perfil de comportamiento e intereses". [13] [14] Exigía que las políticas de privacidad contuvieran una divulgación, o un enlace a una divulgación en una página separada, que detallara cómo respondían los sitios web al encabezado No rastrear y "otros mecanismos que brindan a los consumidores la capacidad de ejercer la opción con respecto a la recopilación de información de identificación personal sobre las actividades en línea de un consumidor individual a lo largo del tiempo y en sitios web o servicios en línea de terceros", si los sitios web rastreaban la información de identificación personal de los usuarios. También exigía que las políticas de privacidad revelaran si los sitios web permitían a terceros realizar un seguimiento cruzado de sus usuarios. Consulte el proyecto de ley 370 de la Asamblea de California, que entró en vigencia el 1 de enero de 2014.
El 6 de febrero de 2013, el asambleísta Ed Chau presentó la AB 242, que enmendaría la ley para imponer requisitos adicionales a las políticas de privacidad. [15] Las enmiendas requerirían:
La AB 242 murió en el Comité Judicial de la Asamblea. [16]