Kalifornia jako pierwsza wprowadza regulacje dotyczące ochrony prywatności w sieci.
Z początkiem roku w Kalifornii zaczęła obowiązywać ustawa o ochronie konsumenckiej (CCPA), która w ograniczonym stopniu powiela przepisy europejskiego rozporządzenia o ochronie danych osobowych, czyli RODO. Mieszkańcy największego stanu USA zyskali prawo do kontrolowania informacji na swój temat, jakie przetwarzają giganci rynku internetowego jak Facebook czy Google, ale też brokerzy trudniący się ich wyszukiwaniem i udostępnianiem.
To na razie pierwszy krok, który wywalczyły amerykańskie organizacje konsumenckie w wojnie o zabezpieczanie danych wrażliwych. Stany Zjednoczone są rynkiem znacznie bardziej zderegulowanym niż Unia Europejska i o wiele trudniej wprowadzić tam obostrzenia. Natomiast uchwalenie przez władze CCPA jest zwycięstwem demokratycznych procedur, bo za ustawą zagłosowali mieszkańcy Kalifornii w referendum zorganizowanym przy okazji ostatnich wyborów parlamentarnych i stanowych w 2018 r.
W czasie kampanii przed plebiscytem zwolennicy regulacji podawali przeróżne przykłady na to, jak korporacje wykorzystywały informacje o użytkownikach internetu i nimi handlowały. Firma Copley Advertising wykorzystywała to, że ktoś się pojawił w okolicy kliniki aborcyjnej i wysyłała mu notki agitujące przeciwko przerywaniu ciąży. Z kolei 23andMe, przedsiębiorstwo zajmujące się badaniem DNA tych, którzy chcieli poznać swoje pochodzenie do kilkudziesięciu pokoleń wstecz, sprzedawała informacje na temat uzyskanego materiału genetycznego klientów gigantowi farmaceutycznemu GlaxoSmithKline. W ten sposób zyskiwał on wiedzę na temat potencjalnych chorób ludzi i kierował do nich z chirurgiczną precyzją reklamy leków i terapii.
Znane były też przypadki banków, które zwracały się do znanych wyszukiwarek z pytaniami, czy ich potencjalni klienci szukali w internecie takich haseł jak „pokonanie nowotworu”, co miało być dla instytucji finansowej sygnałem do obniżenia zdolności kredytowej konsumenta. Ale chyba największa afera była związana z działalnością nieistniejącej już firmy Cambridge Analytica.
Ta brytyjska korporacja wykorzystała profile ponad 87 mln użytkowników Facebooka, aby precyzyjnie kierować do nich przekaz wyborczy podczas amerykańskiej kampanii prezydenckiej, kiedy wybory wygrał Donald Trump, oraz kampanii referendalnej w Wielkiej Brytanii w sprawie brexitu w 2016 r. Firma pozyskała profile użytkowników dzięki współpracy z młodym profesorem psychologii Aleksandrem Koganem i jego firmą GSR. Dostosował on algorytmy opracowane przez innych badaczy i stworzył aplikację-quiz, która wyłudzała dane nie tylko od osób, które z niej skorzystały, lecz także ich znajomych, którzy rozrywkowego quizu nigdy na Facebooku nie wypełniali.
Choć jak dotąd nie znaleziono dowodów, aby serwis Marka Zuckerberga miał świadomość, że jego użytkownicy są w ten sposób wykorzystywani, to jednak na firmę spadło wiele słów krytyki za to, że za pieniądze udostępnia takie możliwości zewnętrznym podmiotom oraz słabo chroni prywatność swoich użytkowników. Serwis z Menlo Park w Kalifornii po wybuchu afery zmienił swoją politykę prywatności i udostępnił użytkownikom więcej opcji jej ochrony.
– Użycie prywatnych informacji przez firmy technologiczne coraz bardziej narusza prawa obywatelskie amerykańskiego konsumenta. Dzisiaj stoimy w obliczu przełomu. Nawet jeżeli nie jesteś mieszkańcem Kalifornii, to po wejściu w życie ustawy CCPA będziesz bardziej chroniony, bo część kalifornijskich firm odniesie nowe przepisy do użytkowników w całym kraju. Ludzie będą częściej pytani, czy zgadzają się na wykorzystywanie i analizowanie swoich danych – powiedział jesienią 2019 r., po podpisaniu przez gubernatora Gavina Newsoma wspomnianej ustawy regulacyjnej, Alastair Mactaggart, założyciel organizacji Kalifornijczycy na rzecz Prywatności oraz inicjator referendum z 2018 r.
Ustawa przewiduje, że korporacje muszą zaoferować klientowi możliwość zażądania kopii danych osobowych, które o nim zebrały, i mają obowiązek je nieodpłatnie dostarczyć w ciągu 45 dni od złożenia wniosku. Użytkownik ma prawo wiedzieć, jakiego rodzaju dane osobowe zostały zebrane przez firmę, skąd pochodzą, dlaczego zostały pozyskane i jakim podmiotom trzecim je udostępniono. Można też zażądać od firmy, aby ta usunęła uzyskane informacje.