La Ley de Privacidad del Consumidor de California (CCPA) se aplica a las empresas con fines de lucro que recopilan o procesan los datos de los residentes de California, incluso si están fuera del estado. Dado que California tiene la economía más grande de los Estados Unidos, la legislación ha afectado a las empresas de todo el país y más allá desde que entró en vigor el 1 de enero de 2020.
Requisitos de cumplimiento de la CCPA
Los requisitos de la CCPA tienen como objetivo dar a los consumidores californianos más control sobre cómo se utilizan sus datos, por ejemplo, teniendo derecho a saber cuándo se recopila su información personal, acceder a sus datos, corregirlos, solicitar su eliminación y optar por no permitir que los datos se vendan a terceros.
¿Qué debe hacer para asegurarse de cumplir con la CCPA? Aquí hay una práctica guía paso a paso para el cumplimiento.
Cómo cumplir con CCPA - Paso a paso
1. Comprueba si la CCPA se aplica a tu negocio
La CCPA se aplica a cualquier persona que recopile datos sobre ciudadanos californianos, sujeto a algunos criterios. La actividad debe llevarse a cabo con fines de lucro (aunque las organizaciones sin fines de lucro pueden quedar atrapadas por las reglas si son propiedad o están controladas por una empresa con fines de lucro).
Incluso si usted es una organización con fines de lucro, estará exento de la ley si cumple con tres criterios:
- Ingresos brutos anuales superiores a $35 millones
- Recibir o divulgar datos sobre más de 50,000 residentes de California cada año
- Generar un 50% o más de ingresos anuales a partir de la venta de datos sobre los residentes de California
2. Comprender la definición de datos personales
La «información personal» se define dentro de la ley y es importante que sepa qué información cae dentro de la definición legal.
La definición establece que la información personal es aquella que: «Identifica, se relaciona, describe, puede asociarse o podría razonablemente vincularse directa o indirectamente con un consumidor o casa en particular».
La información personal recopilada incluye datos obvios como nombre, dirección y número de seguro social, pero también puede incluir categorías de datos menos obvias, como nombres de usuario, dirección IP e historial de navegación o compra.
3. Audite sus sistemas de datos
Sus sistemas deben poder identificar a los residentes de California, administrar sus datos de acuerdo con la ley y almacenar sus datos de manera que se pueda acceder a ellos si solicitan su divulgación, eliminación o enmienda de acuerdo con la ley.
Su sistema de inventario de datos debe identificar y clasificar los datos correctamente, mantener una prueba del consentimiento del usuario para las cookies y la recopilación de datos. En la mayoría de los casos, necesitará una política de cookies en su sitio web.
También necesitará un sistema de seguimiento de políticas de privacidad para mostrar qué versión estaba vigente en el momento en que se otorgó el consentimiento. También debe registrar los tipos de datos que se venden, comparten con terceros o se utilizan con fines de marketing.
4. Comprenda cuáles son sus obligaciones bajo CCPA
Hay cinco derechos clave del consumidor bajo la CCPA:
- El derecho a saber cómo una empresa recopila y vende su información
- El derecho a acceder a los datos que se tienen sobre usted y cómo se utilizan
- El derecho a eliminar su información personal, sujeto a algunas exenciones
- El derecho a optar por no recibir información personal que se vende
- El derecho a no ser discriminado por ejercer los derechos de la CCPA
Una vez que comprenda estos derechos, puede construir un sistema para el cumplimiento de la ley. Nuestra práctica lista de verificación de cumplimiento de CCPA puede ayudarlo a comprender lo que debe hacer.
5. Actualiza tu política de privacidad
La CCPA requiere que las empresas tengan una política de privacidad que establezca los derechos de los consumidores, cómo se pueden enviar las solicitudes de acceso a los datos y las categorías de información personal que la empresa ha recopilado en los últimos 12 meses.
Junto con una política de privacidad sólida, también debe asegurarse de que todas las personas que manejan los datos del consumidor en su empresa estén completamente capacitadas para que lo hagan de manera segura. Esto debe actualizarse una vez al año. Garantizar que su ciberseguridad sea sólida también es una protección importante.
6. Implementar controles de permisos y acceso
Su sitio debe configurarse para permitir que los ciudadanos californianos ejerzan sus derechos de la CCPA, como ser notificados de qué datos se recopilan y procesan, optar por no recibir datos que se recopilan y venden, y que se les diga cómo se utilizarán los datos. Asegúrese de cumplir con los requisitos de exclusión voluntaria de la CCPA para su sitio web en función de las solicitudes de los consumidores.
7. Crear un procedimiento para cumplir con las solicitudes de derechos del consumidor
¿Cómo haría un consumidor para solicitarle sus datos bajo la CCPA? Necesita un sistema para cumplir con las solicitudes de derechos del consumidor:
- ¿Cómo presentan los consumidores una solicitud? ¿Es esto por un correo electrónico dedicado, línea telefónica, formulario en línea? Debe ofrecer dos o más mecanismos de solicitud. ¿Su sitio web y otros materiales dan información clara sobre cómo encontrar esto?
- ¿Cómo verificará las solicitudes? No puede simplemente entregar datos a cualquiera que pregunte, debe poder confirmar la identidad de la persona que realiza la solicitud. Es posible que deba usar un servicio de verificación de terceros u otro método de verificación seguro.
- Proporcionar registros de datos: estos deben cubrir los 12 meses anteriores a la solicitud y la información debe proporcionarse en un formato adecuado, de forma gratuita y dentro de los 45 días posteriores a la presentación de la solicitud.
- Almacenamiento de registros de solicitudes: los detalles de las solicitudes de datos deben almacenarse durante 24 meses para demostrar el cumplimiento y ayudar en caso de una disputa. Los consumidores solo pueden presentar dos solicitudes en un período de 12 meses, por lo que los registros pueden ayudar a llevar la cuenta y evitar cumplir con las solicitudes que exceden esto.
8. Mantenimiento y cumplimiento
Establecer un sistema compatible con CCPA no es el final de la historia: debe planificar revisiones periódicas de su enfoque para asegurarse de que está siguiendo las mejores prácticas. Esto incluye la capacitación regular del personal, la revisión anual de su política de privacidad, la verificación de si está reteniendo datos innecesariamente y la vigilancia de los cambios legales o precedentes.
¿CCPA y GDPR similares?
La Ley de Privacidad del Consumidor de California (CCPA) y el Reglamento General de Protección de Datos (GDPR) de la Unión Europea representan dos de las regulaciones de privacidad más completas e influyentes en el panorama digital actual.
Ambos comparten el objetivo común de empoderar a las personas con un mayor control sobre sus datos personales al tiempo que imponen obligaciones estrictas a las organizaciones que recopilan, procesan y almacenan dicha información.
La CCPA, que aborda principalmente los derechos de los residentes de California, comparte varias similitudes con el GDPR, como otorgar a las personas el derecho a acceder, eliminar y optar por no vender sus datos personales. Sin embargo, el GDPR va más allá, introduciendo derechos adicionales como la portabilidad de datos y el «derecho al olvido».
Si bien la CCPA y el GDPR difieren en alcance y jurisdicción, ambos reflejan una creciente conciencia global de la importancia de la privacidad de los datos y la necesidad de marcos regulatorios sólidos para proteger los derechos de las personas en la era digital.
Dejar que CookieHub ayude
Si necesita ayuda para asegurarse de que las cookies de su sitio web cumplan con la CCPA, póngase en contacto con CookieHub. Podemos ayudarlo a administrar sus cookies dentro de los requisitos de cumplimiento de la CCPA, al tiempo que brindamos una experiencia fluida y fluida para sus clientes.