Sephora acordó desembolsar $ 1.2 millones para resolver los reclamos de que violó la ley de privacidad de California.
Este es el primer pago que el estado de EE. UU. ha obtenido utilizando la legislación relativamente nueva, y será un disparo en la proa de las corporaciones que venden información sobre personas sin su pleno consentimiento.
El acuerdo sigue al “barrido de aplicación” del fiscal general de Cali, Rob Bonta, de un año de duración, en el que investigó a Sephora y otras empresas para ver si alguna de ellas estaba incumpliendo la Ley de Privacidad del Consumidor de California ( CCPA ).
Según el águila legal, el emporio multinacional del maquillaje no reveló adecuadamente a las personas que estaba vendiendo datos sobre ellas. Sephora tampoco procesó las solicitudes de las personas para optar por no vender esta información, en violación de la ley de privacidad del estado, alegó Bonta. Se nos dice que Sephora también ignoró los deseos de los internautas que señalaron a través de un navegador o extensión compatible con el Control de privacidad global ( GPC ) que no querían que se vendieran sus datos personales.
Sephora, según documentos judiciales [ PDF ], otorgó a empresas de terceros, incluidas redes publicitarias y proveedores de análisis de datos, acceso a las actividades en línea de sus clientes a cambio de publicidad o servicios analíticos. Supuestamente, esto permitió a estos terceros crear perfiles de internautas rastreando si, por ejemplo, usaron una MacBook o una Dell, la marca de delineador de ojos que compraron o incluso qué vitaminas prenatales agregaron a su carrito de compras en línea, así como su ubicación precisa.
Según Bonta, esto constituye una venta de datos de consumidores. “Tanto el comercio de información personal para análisis como el comercio de información personal para una opción de publicidad constituyeron ventas bajo la CCPA”, argumentó la demanda.
Sephora, por su parte, no está de acuerdo.
“Sephora respeta la privacidad de los consumidores y se esfuerza por ser transparente sobre cómo se usa su información personal para mejorar su experiencia Sephora”, dijo un portavoz , y agregó que “Sephora usa datos estrictamente para experiencias Sephora”.
El problema, según el gigante de la belleza, es que la CCPA no define “venta” en el sentido tradicional.
“‘Venta’ incluye prácticas tecnológicas comunes en toda la industria, como las cookies”, dijo el portavoz, “que nos permiten brindar a los consumidores recomendaciones de productos de Sephora más relevantes, experiencias de compra personalizadas y anuncios”.
“Los consumidores tienen la oportunidad de optar por no participar en esta experiencia de compra personalizada haciendo clic en el enlace ‘CA – No vender mi información personal’ en el pie de página del sitio web Sephora.com o utilizando un navegador que transmita el Control de privacidad global”.
Sephora afirmó además que ha permitido a las personas optar por no participar en la venta de información personal, incluso a través de GPC, desde noviembre de 2021.
Mientras tanto, la investigación del estado usó extensiones de navegador para monitorear el tráfico de la red que involucraba a proveedores de análisis y publicidad de terceros cuando visitaban el punto com de Sephora, y luego observó cómo cambiaba ese tráfico cuando los consumidores encendían el GPC, esencialmente diciéndole a Sephora: no vendas. Mi información. Según el documento judicial, el sitio de Sephora ignoró esa señal:
Al investigar el sitio web de Sephora, el Fiscal General descubrió que la activación de GPC no tuvo ningún efecto y que los datos continuaron fluyendo a empresas de terceros, incluidos proveedores de publicidad y análisis. Las pruebas posteriores confirmaron que el sitio web de Sephora no tomó ninguna medida para bloquear la transmisión de información personal, incluso cuando un consumidor de California señaló su opción de exclusión mediante el GPC. En resumen, Sephora ignoró por completo el GPC.
“Espero que el acuerdo de hoy envíe un mensaje fuerte a las empresas que aún no cumplen con la ley de privacidad del consumidor de California”, dijo Bonta en un comunicado esta semana. “Mi oficina está observando y lo haremos responsable”.
Además de pagar una tarifa de $ 1,2 millones, el acuerdo también requiere que el minorista global aclare sus divulgaciones en línea y su política de privacidad para dejar en claro que vende datos y brinde formas para que los internautas opten por no participar, incluso a través de el GPC.
Sephora también acordó cambiar sus acuerdos de proveedores de servicios para cumplir con los requisitos de CCPA y proporcionar informes al fiscal general en relación con su venta de información personal.
“La aplicación contra Sephora tiene dos características bastante importantes”, dijo a The Register la analista de Forrester Research, Stephanie Liu . “La primera es que el fiscal general está definiendo la venta de datos de manera muy amplia”.
El debate sobre lo que constituye una venta de información del consumidor bajo la CCPA ha estado en curso, incluso antes de que la ley entrara en vigencia en 2020. Sin embargo, vale la pena señalar que la Ley de Derechos de Privacidad de California (CPRA), que amplía la CCPA y entra en en vigor en enero de 2023, también obliga a las empresas a no ” compartir ” la información personal de las personas con terceros.
“El AG dice que Sephora está capturando datos útiles sobre usted y compartiéndolos con otras compañías, lo que califica como una venta en su libro”, dijo Liu.
El segundo dato interesante del acuerdo, según Liu, es la inclusión del GPC.
“Está diciendo que Sephora no respetó la configuración de Control de privacidad global de los usuarios como una señal para optar por no vender su información, y eso es una victoria para los defensores de la privacidad”, agregó.
“El control de privacidad global ha sido una idea durante un par de años y todavía no se ha adoptado ampliamente; no está en Google Chrome, por ejemplo”, dijo Lui. “Esto indica claramente que California AG se lo toma en serio y ya lo está considerando válido como una forma de optar por no participar”.
Además, la acción de aplicación llega en un momento en que la privacidad de los datos se ha convertido en un tema candente con defensores y legisladores que hacen sonar las alarmas sobre cómo los datos digitales, como la geolocalización , el historial de búsqueda , los chats privados e incluso las compras , pueden usarse para husmear y enjuiciar a las personas .
Este fue el caso de una madre de Nebraska y su hija adolescente cuando Meta, después de recibir una citación, entregó chats privados de Facebook entre las mujeres que luego se usaron para construir un caso penal contra la hija por someterse a un aborto ahora ilegal. estado natal.
Bonta llama específicamente la atención sobre los problemas de privacidad de datos posteriores a Roe en la demanda del estado contra Sephora:
Las ramificaciones de esta vigilancia de terceros pueden ir más allá de la elaboración de perfiles de consumidores ordinarios. El sitio web de Sephora permite a los visitantes buscar y comprar productos como vitaminas prenatales y de apoyo para la menopausia, puntos de datos que pueden ser utilizados por empresas de terceros para inferir conclusiones sobre las condiciones de salud de las mujeres, como el embarazo.
La acción de cumplimiento de California, y exigir a las empresas que permitan a los consumidores optar por no vender sus datos, es una medida positiva para los consumidores del estado, “y para todos nosotros”, dijo a The Register la activista legislativa sénior de EFF, Hayley Tsukayama .
“Respetar las elecciones de los consumidores sobre los datos es más importante que nunca, dada la forma en que la información fluye a través del ecosistema de datos opacos”, dijo Tsukayama. “Mucha información, incluso qué cosméticos estamos comprando, puede revelar cosas delicadas sobre nuestra salud”.
“También nos complace escuchar que el fiscal general ha realizado, en sus palabras, un ‘barrido de aplicación’ que examina a otros posibles infractores de la CCPA”, continuó. “La mayor parte de la aplicación de la CCPA está en manos del fiscal general, y es importante perseguir con firmeza este tipo de violaciones”.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.