A medida que dejamos nuestros datos en cada sitio que visitamos, la información personal se ha convertido en un activo valioso tanto para los consumidores como para las empresas.
Por esa razón, las organizaciones procesan cada día cantidades cada vez mayores de información personal.
Si bien eso no tiene nada de malo, muchas empresas venden los datos de los consumidores para obtener ganancias sin su consentimiento.
Al mismo tiempo, con un ataque de piratas informáticos que se produce cada 39 segundos, una gran parte de las organizaciones no ha logrado proteger la información personal confidencial de sus clientes de las filtraciones de datos que cuestan $ 3.86 millones en promedio.
Por esa razón, la protección de datos y la privacidad se han convertido en un tema importante, y el 46% de los consumidores sienten que han perdido el control sobre su información personal.
Además de los consumidores, los gobiernos también se han dado cuenta de la importancia de la privacidad de los datos. Como resultado, han aprobado leyes para brindar un mayor control a sus ciudadanos y regular cómo las empresas pueden interactuar con su información personal.
La Ley de Privacidad del Consumidor de California (CCPA) se encuentra entre esas leyes de privacidad de datos, que exploraremos con más detalle en este artículo.
La CCPA se refiere a la Ley de Privacidad del Consumidor de California, una ley de privacidad de datos aprobada por la legislatura del estado de California en junio de 2018.
También llamada "California GDPR" y "GDPR Lite", la CCPA sigue los pasos del Reglamento General de Protección de Datos (GDPR) de la Unión Europea.
La CCPA introduce nuevas reglas relacionadas con la forma en que las empresas pueden recopilar y procesar datos, las consecuencias del incumplimiento y las infracciones, así como los derechos que permiten a los residentes de California tener un mayor control sobre su información personal.
Si bien el estado de California aprobó la ley el 28 de junio de 2018, la CCPA solo entró en vigencia el 1 de enero de 2020.
Las empresas afectadas recibieron seis meses completos para cumplir con la ley como parte de un período de gracia. A partir del 1 de julio de 2020, las autoridades de California tienen derecho a hacer cumplir la ley y multar a las empresas por incumplimiento.
La Ley de Privacidad del Consumidor de California se aplica a dos partes diferentes.
Por un lado está el consumidor, definido como un residente de California según la CCPA. Toda persona física que resida en el estado, incluso si está físicamente fuera de California por un propósito temporal o transitorio, se considera residente de California.
Dado que la CCPA proporciona un mayor control sobre su información personal, los consumidores son claramente los que se benefician de la ley de privacidad de datos del estado.
De hecho, según la ley de protección de datos de California, las empresas no tienen más opciones que cumplir con las reglas de la CCPA.
Sin embargo, la CCPA no se aplica a todas las organizaciones.
Para calificar como una empresa bajo la CCPA, la organización tiene que ser una empresa con fines de lucro que "hace negocios" en California.
Si bien esta definición es bastante vaga, significa que una organización no tiene que estar ubicada en el estado (o incluso en los Estados Unidos) para verse afectada por la CCPA.
En cambio, cualquier empresa con fines de lucro que atienda a los residentes de California debe cumplir con las leyes de protección de datos del estado si cumple con uno de los siguientes:
Tiene un ingreso anual bruto de más de $ 25 millones, Compra, recibe o vende los datos personales de 50,000 o más residentes, hogares o dispositivos de California, o Gana el 50% o más de sus ingresos anuales por la venta de información personal de los residentes de California.
Es importante mencionar que, dado que las direcciones IP se consideran información personal según la CCPA, cualquier organización con fines de lucro que opere un sitio web que tenga al menos 50,000 visitas únicas de California en un año determinado debe cumplir con las reglas de privacidad del estado.
La CCPA también se aplica a los intermediarios de datos que se definen en la ley de privacidad como organizaciones que recopilan y venden información personal del consumidor a terceros sin tener una relación directa con los usuarios finales.
Sin embargo, la CCPA exime a las organizaciones reguladas por otras leyes de cumplir con las reglas de la Ley de Privacidad del Consumidor de California.
Ejemplos de estas organizaciones incluyen agencias de crédito, así como ciertas instituciones financieras y compañías de seguros.
La CCPA es un paso importante hacia la privacidad de los datos del consumidor.
Hasta que la ley entre en vigor, las organizaciones pueden interactuar con la información personal de los ciudadanos sin reglas importantes o responsabilidad.
Hoy en día, la información personal es preciosa y extremadamente valiosa. Si bien las empresas se benefician del valor de los datos personales, los consumidores tienden en gran medida a compartir cantidades significativas de sus datos sin darse cuenta.
Sin una ley de protección de datos, las empresas no pueden ser responsables de cómo almacenan e interactúan con la información personal de los consumidores. Además de eso, pueden recopilar y vender datos personales para obtener ganancias sin el conocimiento o consentimiento de los usuarios.
En el peor de los casos, la falta de medidas de seguridad adecuadas podría llevar a que partes malintencionadas obtengan datos de los consumidores, lo que podría causar daños graves a las víctimas.
Al igual que el RGPD de la UE, la Ley de privacidad del consumidor de California se centra en solucionar los problemas anteriores mediante la introducción de reglas más estrictas para las empresas con el objetivo de proteger los datos del consumidor y la privacidad de los usuarios.
Las empresas afectadas por la CCPA pueden necesitar asignar una mayor cantidad de recursos para cumplir con las nuevas reglas a fin de manejar los datos de los consumidores con cuidado y evitar ser multados por las autoridades.
Dicho esto, la CCPA también brinda algunos beneficios a las organizaciones. Tras el cumplimiento de las reglas de privacidad, las empresas pueden destacar cómo protegen los datos de sus clientes para ganarse la lealtad y la confianza de los consumidores.
También es crucial enfatizar que la CCPA es una ley de privacidad en todo el estado diseñada para salvaguardar la información personal de los residentes de California. Actualmente, Estados Unidos carece de una ley federal que ofrezca protección de datos a nivel nacional.
Curiosamente, se está convirtiendo cada vez más en el estándar para que las empresas estadounidenses utilicen medidas de privacidad que cumplan con la CCPA no solo para los ciudadanos de California, sino también para todos sus usuarios en todo el país (e incluso en el extranjero).
La Ley de Privacidad del Consumidor de California define la información personal como datos que identifican, se relacionan o podrían estar razonablemente vinculados a un individuo o su hogar. Ejemplos de tales incluyen:
Nombre Edad Dirección de correo electrónico Dirección postal Datos demográficos Número de seguro social Número de licencia de conducir Registros de productos comprados Datos de geolocalización Historial de navegación en Internet Dirección IP Datos biométricos (por ejemplo, huellas dactilares) Información financiera (por ejemplo, datos de tarjetas de crédito) Nombre de la cuenta u otro identificador en línea Inferencias de otra información personal que se puede utilizar para crear un perfil sobre alguien características y preferencias
La CCPA no cubre los datos disponibles públicamente de los registros del gobierno federal, estatal o local. Las licencias profesionales y los registros públicos de bienes raíces son buenos ejemplos de datos que no están cubiertos por la CCPA.
¿Las cookies se consideran información personal según la CCPA?
Para los dueños de negocios, es esencial analizar si la CCPA afecta las cookies que recopilan sobre los consumidores de California y cómo lo hacen.
Las cookies se refieren a pequeños archivos de texto que un sitio web coloca en el navegador de un usuario al visitar el sitio. Al hacerlo, las empresas pueden recopilar información sobre el consumidor, el dispositivo del usuario, así como otros datos que les ayuden a reconocer al usuario cuando regresa al sitio web.
Diferenciamos dos tipos de cookies.
Las cookies entran en la primera categoría si son necesarias para las funciones principales de un sitio web, registrando solo identificadores aleatorios, que a menudo se eliminan después de que el usuario cierra su navegador.
Sin embargo, la mayoría de las cookies son colocadas en sitios web por terceros, utilizando identificaciones únicas para recopilar una amplia gama de datos sobre los consumidores con fines analíticos y de marketing.
Las cookies que pertenecen a esta categoría a menudo almacenan los datos del usuario durante más tiempo (incluso decenas de años), lo que es una práctica que puede violar la privacidad de los consumidores.
Al clasificarlos como identificadores únicos, las cookies se rigen por las reglas de la CCPA.
Según el aviso en la regla de recopilación (más sobre esto más adelante), la empresa debe mostrar claramente su política de cookies a los usuarios durante su visita, incluido el tipo de información personal que recopila sobre ellos y con qué propósito.
¿Existe algún requisito de política de privacidad en la CCPA?
La Ley de Privacidad del Consumidor de California requiere que las empresas divulguen sus políticas de privacidad en un lugar visible de sus sitios web.
Además de eso, los sitios web de las empresas deben incluir información sobre los derechos de privacidad de los consumidores descritos en la CCPA (por ejemplo, el derecho a saber), así como sobre cómo los usuarios pueden ejercerlos.
Como se mencionó anteriormente, la CCPA proporciona nuevos derechos a los consumidores sobre sus datos, así como reglas sobre cómo las empresas pueden interactuar con ellos.
El derecho a saber
El derecho a saber se refiere a la capacidad de los consumidores de California de enviar solicitudes a las empresas para revelar qué datos personales han recopilado, usado, compartido o vendido sobre ellos, junto con las razones para hacerlo.
Los consumidores pueden solicitar a las empresas que proporcionen la siguiente información:
Las categorías de información personal recopilada Registros específicos de datos personales recopilados Las categorías de las fuentes que la empresa utilizó para recopilar los datos Los propósitos para usar la información personal Las categorías de terceros con los que la empresa comparte los datos Las categorías de información personal que la empresa divulga o vende a terceros
Sin embargo, las empresas pueden negar el derecho de los consumidores a conocer las solicitudes en algunos casos, que incluyen:
La empresa no puede verificar la solicitud del consumidor La solicitud es manifiestamente infundada o excesiva La empresa ya ha respondido al derecho a saber la solicitud del mismo consumidor más de dos veces en un período de 12 meses Las empresas tienen prohibido divulgar información personal sensible (por ejemplo, cuentas financieras número, número de seguro social, contraseña de la cuenta) incluso con el consumidor.
Sin embargo, en tal caso, la empresa todavía tiene que informar al usuario sobre el tipo de datos personales sensibles que recopila.
Revelar los datos restringiría la capacidad de la organización para ejercer o defender reclamos o derechos legales o cumplir con obligaciones legales Los datos personales entran en una categoría que está exenta de la CCPA (por ejemplo, cierta información médica y datos de informes crediticios del consumidor)
Para ejercer su derecho a saber, los consumidores deben enviar una solicitud a través de uno de los métodos (por ejemplo, mensaje de correo electrónico, llamada telefónica) proporcionados por la empresa.
Después de la presentación, la empresa tiene 45 días calendario para responder, que pueden extenderse a un total de 90 días después de notificar al consumidor.
Las organizaciones deben proporcionar los datos solicitados de forma gratuita durante el período de 12 meses anterior a la solicitud del consumidor.
Es fundamental mencionar que los consumidores deben enviar sus solicitudes directamente a la empresa para que se acepten sus reclamos.
Según la CCPA, las empresas a menudo utilizan las soluciones de múltiples proveedores de servicios (por ejemplo, pasarelas de pago, compañías navieras, etc.). La ley de privacidad trata a los proveedores de servicios de manera diferente a las empresas a las que sirven, lo que hace que estas últimas sean responsables de responder a las solicitudes de los consumidores relacionadas con la CCPA. Por esa razón, enviar una solicitud de derecho a saber a un proveedor de servicios en lugar de a una empresa probablemente resultará en un reclamo denegado.
Aviso en la colección
Un aviso en la recopilación se refiere al deber obligatorio de una empresa de informar a los consumidores sobre los datos personales que recopilan sobre sus usuarios en el punto en el que recopila la información o antes.
Según la CCPA, el aviso de recopilación debe incluir las categorías de información personal recopilada sobre los consumidores y los fines para los que las empresas las utilizan.
Existe un requisito adicional para las empresas que no solo recopilan y utilizan la información personal de los consumidores, sino que también la venden.
Según la CCPA, dichas empresas deben incluir un enlace "No vender" en el aviso, que los usuarios pueden utilizar para excluirse de la venta de sus datos personales.
El derecho a optar por no participar
Con el derecho a optar por no participar, los consumidores pueden utilizar el enlace "No vender" en el sitio web de una empresa para solicitar a la empresa que no venda sus datos personales a terceros.
Después de enviar la solicitud de exclusión voluntaria, la empresa tiene prohibido vender los datos personales del consumidor a menos que luego autorice a la empresa a hacerlo nuevamente.
Sin embargo, las empresas deben esperar al menos 12 meses antes de solicitar a un consumidor que haya decidido excluirse la autorización para vender sus datos personales nuevamente.
Es fundamental tener en cuenta que la CCPA incluye algunos casos en los que los consumidores no pueden ejercer sus derechos de exclusión voluntaria.
Una empresa puede rechazar las solicitudes de exclusión voluntaria de los usuarios cuando:
La venta de los datos del consumidor es necesaria para que la empresa cumpla con obligaciones legales, defienda reclamos legales o ejerza reclamos o derechos legales La información personal cae en una categoría que está exenta de la CCPA (por ejemplo, ciertos datos médicos, información de informes crediticios del consumidor )
El derecho a borrar
Según la CCPA, los consumidores no solo tienen derecho a excluirse de la venta de sus datos personales, sino también a solicitar que las empresas eliminen la información personal recopilada sobre ellos.
De manera similar al derecho a saber, las empresas tienen un máximo de 45 días calendario, que opcionalmente se pueden extender otros 45 días después de notificar al usuario, para responder a la solicitud.
Además, los consumidores deben enviar sus solicitudes directamente a la empresa en lugar de a uno de sus proveedores de servicios, que es el mismo proceso que en el derecho a saber.
Además de cumplir con la solicitud del consumidor, la empresa debe notificar a sus proveedores de servicios que eliminen cualquier registro que posean relacionado con el usuario.
La CCPA incluye múltiples excepciones para el derecho a eliminar, incluidos los casos en que la empresa:
No se puede verificar la solicitud del consumidor Necesita la información personal para completar la transacción del consumidor, proporcionar un producto o servicio razonablemente anticipado, o para ciertos propósitos de retiro del mercado y garantía Los datos son cruciales para llevar a cabo ciertas prácticas de seguridad comercial La información personal del usuario es esencial para ciertas usos, que sean compatibles con las expectativas razonables del consumidor o el contexto en el que se proporcionaron los datos La falta de datos del consumidor impediría o limitaría el negocio en el cumplimiento de obligaciones legales, el ejercicio de reclamos o derechos legales, o la defensa de derechos legales La CCPA no cubre que tipo de información personal
El derecho a la no discriminación
Sin el derecho a la no discriminación, las empresas podrían impedir que los consumidores ejerzan su control sobre sus datos.
Según la CCPA, el derecho a la no discriminación se refiere al requisito obligatorio según el cual las empresas deben proporcionar la misma calidad de productos al mismo precio tanto a los consumidores que han ejercido como a los que no han ejercido sus derechos de privacidad de datos sin negar el acceso a sus servicios.
Sin embargo, hay una excepción a la regla.
Cuando un consumidor opta por no participar en la venta o solicita que se eliminen sus datos, es posible que una empresa no pueda completar la transacción si necesita la información personal del usuario o una venta relacionada para proporcionarle bienes o servicios.
Pero en tal caso, la empresa aún puede brindar servicios al consumidor al negar legítimamente su solicitud de exclusión voluntaria o eliminación de datos (ya que esto se considera una excepción según la CCPA).
Si bien las empresas no pueden discriminar a los consumidores en función de si han ejercido sus derechos en virtud de la CCPA, la ley de privacidad les permite ofrecer promociones, ofertas y descuentos a cambio de recopilar, almacenar o vender los datos personales de sus usuarios.
Sin embargo, las organizaciones solo pueden ofrecer tales acuerdos a los consumidores si el incentivo financiero está razonablemente relacionado con el valor de los datos personales de los usuarios.
Según la CCPA, al optar por no participar en una venta o solicitar la eliminación de su información personal, es posible que los consumidores no puedan participar en los acuerdos comerciales especiales relacionados con los datos.
Es importante mencionar que la CCPA carece de un organismo o agencia gubernamental dedicada exclusivamente a hacer cumplir la ley de privacidad.
Dicho esto, la Ley de Privacidad del Consumidor de California se puede hacer cumplir de dos maneras.
Primero, los consumidores tienen derecho a demandar a una empresa que viole la CCPA, pero solo en un número limitado de casos, todos los cuales están relacionados con violaciones de datos.
En el caso de una violación de datos, un consumidor puede iniciar una demanda contra una empresa si su información personal no cifrada y no redactada fue robada debido a que la empresa no utilizó medidas de seguridad razonables para protegerla.
En tal caso, un consumidor puede demandar a la empresa por daños legales.
Pero antes de hacerlo, el usuario debe notificar por escrito a la empresa las secciones específicas de la CCPA que violó.
Después de la presentación, la empresa tiene un máximo de 30 días para responder al consumidor con una declaración escrita sobre la reparación de las infracciones a las que se refirió el usuario, así como una garantía de que no se producirán más infracciones de la CCPA.
A menos que la empresa se niegue a responder en el plazo anterior o continúe violando las reglas de la CCPA, el consumidor no puede demandar a una empresa que haya logrado subsanar la violación.
Además, los consumidores solo pueden demandar a una empresa en caso de que los siguientes tipos de información personal hayan sido robados de forma no cifrada y no redactada durante una violación de datos:
Documentos confidenciales emitidos por el gobierno o números de identificación únicos utilizados con fines de identificación (p. Ej., Números de pasaporte y seguro social, licencias de conducir, identificaciones fiscales) Información financiera combinada con el código de seguridad o contraseña que permite que alguien acceda a la cuenta (p. Ej., Número de tarjeta de crédito con un CVV o un número de cuenta bancaria con un nombre de usuario y contraseña) Información médica y de seguro de salud Datos biométricos utilizados para identificación personal (por ejemplo, huellas dactilares, fotografías utilizadas con fines de reconocimiento facial)
El Fiscal General de California es responsable de hacer cumplir todas las demás infracciones de la CCPA.
Si bien el Fiscal General puede entablar una acción contra las empresas que no cumplen, no representa a los consumidores individuales de California.
En cambio, la oficina del Procurador General monitorea las quejas de los consumidores para identificar patrones de mala conducta y puede iniciar una demanda a gran escala contra negocios violadores en nombre de los ciudadanos de California.
En la última sección, hemos explorado cómo se puede hacer cumplir la Ley de Privacidad del Consumidor de California. Ahora, veamos cuáles son las multas y las consecuencias de violar la CCPA.
Por violar la CCPA, las autoridades pueden castigar a una empresa con multas, que se dividen en dos categorías.
En la primera categoría, el consumidor es el que demanda a la empresa. Aquí, las multas son menos severas para las empresas que no cumplen, y oscilan entre $ 100 y $ 750 por consumidor por incidente o daños reales (lo que sea mayor).
Sin embargo, el estado puede imponer una multa de hasta $ 2,500 por violación para una organización que involuntariamente viola la CCPA. Las infracciones intencionales tienen un precio más alto para las empresas, que puede ser de hasta $ 7,500 por infracción.
A primera vista, las multas de la CCPA pueden parecer bastante leves en comparación con una estricta ley de privacidad como el RGPD de la UE, donde una sola sanción puede llegar a los 20 millones de euros ($ 23,66 millones) o el 4% del volumen de negocios global anual de una empresa. .
Sin embargo, estos pueden sumar una multa considerable ya que las autoridades castigan a las empresas por la cantidad de violaciones o incidentes (o daños reales) por consumidor. Por esa razón, el incumplimiento de la CCPA conlleva altos costos incluso para una empresa que atiende solo a unos pocos consumidores de California.
Tras la aprobación del proyecto de ley en abril de 2016, el Reglamento General de Protección de Datos (RGPD) de la UE ha estado bastante en el centro de atención, y sigue siéndolo, mucho después de que entró en vigor en mayo de 2018.
Y no debería ser una sorpresa.
Aplicado a todas las empresas dirigidas a ciudadanos de la UE, el RGPD introdujo reglas estrictas para las empresas al tiempo que brindaba un mayor control a 515 millones de personas sobre sus datos.
Con las empresas que enfrentan sanciones máximas de hasta 20 millones de euros ($ 23,66 millones) o el 4% de su facturación anual global (lo que sea mayor), las autoridades europeas han impuesto casi 260 millones de euros ($ 308 millones) de multas a las empresas que no cumplen hasta la fecha. .
Si bien la CCPA y el GDPR comparten características similares, existen algunas diferencias importantes entre las dos leyes de protección de datos.
En la siguiente tabla, puede ver cómo se comparan las dos regulaciones de privacidad de datos:
Además de las diferencias enumeradas anteriormente, existe otra diferencia principal entre las dos leyes de privacidad de datos.
Si bien incluye la mayoría de los derechos introducidos en el GDPR, la CCPA carece del derecho de rectificación y del derecho a oponerse a la toma de decisiones automatizada.
Además, la CCPA solo proporciona cobertura parcial para el derecho de la GDPR a restringir el procesamiento y el derecho a oponerse al procesamiento en forma de derecho a optar por no participar.
También llamada “CCPA 2.0”, la Ley de Derechos de Privacidad de California (CPRA) es una extensión de la CCPA.
Aprobada en California en noviembre de 2020, la CPRA tiene como objetivo abordar las limitaciones de la CCPA para proteger a los consumidores del estado de manera más eficiente.
Uno de los cambios más importantes que introduce la CPRA es el establecimiento de una organización, llamada Agencia de Protección de la Privacidad de California (CPPA), que es la única responsable de hacer cumplir las leyes de privacidad del estado.
Con esta medida, la CPRA busca aliviar la carga del Fiscal General de California y, en cambio, crear una agencia que tenga los recursos necesarios para emprender acciones legales contra las empresas que no cumplen.
Además, la CPRA introduce dos nuevos derechos:
Derecho de rectificación: Con el derecho a la rectificación, los consumidores pueden solicitar a las empresas que corrijan la información personal inexacta.El derecho a la restricción: Aquí, los consumidores pueden ejercer su derecho a limitar la forma en que las empresas utilizan y divulgan sus datos personales confidenciales.
Además, las empresas que recopilan datos personales de los consumidores de California deben informar a los usuarios de manera clara y transparente en caso de que utilicen tecnología de toma de decisiones automatizada.
Con respecto a la información personal, la CPRA diferencia datos sensibles (por ejemplo, números de seguro social) y datos estándar del consumidor, introduciendo reglas separadas para interactuar con cada uno. Además, las autoridades pueden imponer tres veces las multas por violaciones que involucren datos personales de menores.
Además, la CPRA requiere que las empresas protejan la privacidad no solo de los consumidores de California sino también de sus empleados y contratistas independientes.
Aunque la CPRA se aprobó en noviembre, solo entrará en vigencia el 1 de enero de 2023 y se hará cumplir el 1 de julio de 2023.
Dicho esto, la ley de privacidad refinada probablemente tendrá un impacto en la forma en que las empresas recopilan información personal a partir del 1 de enero de 2022.
En esta sección, hemos recopilado las ventajas y desventajas de la Ley de privacidad del consumidor de California.
A pesar de ser solo una ley de privacidad a nivel estatal, dado que se aplica a una gran parte de las organizaciones de EE. UU., La CCPA introduce un nuevo estándar para la privacidad de datos en los Estados Unidos.
Las empresas pueden aprovechar el cumplimiento de la CCPA para aumentar la confianza y la lealtad de sus clientes.
Al proporcionar un mayor control a los consumidores de California sobre su información personal, la CCPA se encuentra entre las leyes de privacidad de datos más importantes de los Estados Unidos.
Si bien se necesita un trabajo adicional para que las empresas cumplan con las regulaciones de la CCPA, pueden mostrar su dedicación para seguir las leyes de privacidad de datos del estado y, por lo tanto, aumentar la confianza y la lealtad de sus clientes.
Es posible que la CCPA solo cubra a los residentes de California, pero debido a que la ley se aplica a muchas empresas en los EE. UU. Y en el extranjero, introduce un nuevo estándar en la privacidad de los datos (especialmente en los Estados Unidos).
Como resultado, un número cada vez mayor de estados de EE. UU. Han elaborado sus propias regulaciones de protección de datos, con una probabilidad creciente de que se introduzca una ley federal de privacidad del consumidor en un futuro (cercano).
Por otro lado, la CCPA no es tan estricta como la GDPR de la UE y claramente tiene sus deficiencias.
Dicho esto, la Ley de Derechos de Privacidad de California (CPRA) recientemente aprobada brindará una solución a la mayoría de esos problemas.