Estas dos leyes de California están dando forma al entorno estadounidense de privacidad y seguridad de datos: esto es lo que debe saber sobre ellas
La Ley de Privacidad del Consumidor de California (CCPA) y la Ley de Derechos de Privacidad de California (CPRA) son dos leyes de California que fueron las primeras piezas de protección integral de la privacidad en los Estados Unidos. Desde su aprobación, han inspirado una serie de leyes similares en todo el país y se están convirtiendo rápidamente en el estándar para la privacidad y protección de datos en los Estados Unidos.
Pero debido en parte a las abreviaturas similares de las leyes y su redacción similar, muchas personas están confundidas acerca de lo que son estas dos leyes y lo que significan tanto para las empresas como para los consumidores. Veamos las dos leyes con más detalle para que podamos entender cuáles son, cómo pueden afectarlo y qué puede esperar en el futuro.
¿Qué es la CCPA?
La Ley de Privacidad del Consumidor de California de 2018 fue una ley firmada en vigencia en 2018 por el entonces gobernador de California, Jerry Brown. La ley es un estatuto estatal que mejora los derechos de privacidad y la protección del consumidor para las personas que viven en California, y significa que los residentes de California tienen derecho a:
- Saber qué datos personales se recopilan sobre ellos
- Saber si sus datos personales son vendidos o revelados y a quién
- Decir no a la venta de sus datos personales
- Acceder a esos datos personales
- Solicitar que una empresa elimine cualquier dato personal que se haya recopilado sobre ellos
- No ser discriminado por hacer nada de lo anterior en un esfuerzo por proteger su privacidad
Esta ley se aplica a cualquier empresa u organización con fines de lucro que recopile datos del consumidor, haga negocios en California y tenga uno de los siguientes rasgos:
- Ingresos brutos superiores a 25 millones de dólares
- Compra, recibe o vende la información personal de al menos 50,000 consumidores u hogares
- Obtiene más de la mitad de sus ingresos anuales de la venta de datos de consumidores
En el conjunto de normas se incluyen varias disposiciones encaminadas a la rendición de cuentas. Por ejemplo, cualquier persona que recopile información personal debe tener un proceso para obtener el consentimiento de los padres o tutores para menores de 13 años, y el consentimiento afirmativo para cualquier persona de 13 a 16 años.
También debe aparecer un enlace en la página de inicio del sitio web que diga algo en el sentido de «No vender mi información personal», que dirige a una página web que permite a las personas optar por no vender la información personal de la persona.
También es necesario que existan métodos para que las personas envíen solicitudes de acceso a los datos, como mínimo, que deben incluir un número de teléfono gratuito. Finalmente, el recopilador de datos no debe solicitar el consentimiento de alguien que opte por no participar durante al menos 12 meses.
Las multas por incumplimiento de la norma son notables. Las empresas que se convierten en víctimas de robo de datos u otras violaciones de seguridad pueden ser ordenadas a pagar daños de hasta $ 750 por residente de California e incidente, o daños reales si son mayores. También se incluye una multa de hasta $ 7,500 por cada violación intencional, y hasta $ 2,500 por cada violación no intencional.
Hay dos excepciones notables a la regla: información personal de salud e información financiera.
¿Qué es la CPRA?
La Ley de Derechos de Privacidad de California de 2020, también conocida como Proposición 24 y CPRA, fue una propuesta de votación aprobada por los votantes en California en 2020 por un voto de 56 por ciento a 44 por ciento. CPRA amplió las leyes de privacidad del consumidor disponibles para los residentes del estado y se basó en la base creada por la CCPA. La CPRA no reemplaza exactamente a la CCPA, más precisamente, modifica la ley y agrega nuevas disposiciones. La CPRA entró en vigencia el 16 de diciembre de 2020, pero la mayoría de las disposiciones no están completamente operativas hasta el 1 de enero de 2023.
Entre otras cosas, CPRA establece una nueva agencia, la Agencia de Protección de Privacidad de California, que tiene «pleno poder administrativo, autoridad y jurisdicción para implementar y hacer cumplir la CCPA. La agencia compartirá la supervisión de la privacidad del consumidor y la aplicación de la ley con el Departamento de Justicia de California. La ley también requiere que las empresas obtengan permiso de los consumidores menores de 16 años antes de recopilar sus datos.
Otras disposiciones de la ley permiten a los consumidores evitar que las empresas compartan sus datos personales y crean un marco para prohibir la recopilación de datos personales inexactos. También limita la capacidad de las empresas para utilizar información personal confidencial, como la ubicación precisa, la raza, el origen étnico, la religión, la composición genética, las comunicaciones privadas, la orientación sexual y la información de salud específica.
¿Cuáles son los impactos (hasta ahora) de las nuevas leyes de privacidad?
Hasta ahora, las leyes de privacidad han tenido un impacto en los editores y las empresas de tecnología que necesitaban contratar equipos legales para revisar sus operaciones, así como el software de cumplimiento, aunque ha tenido poco o ningún impacto en los ingresos publicitarios, los precios de los anuncios o el inventario, según un grupo de la industria. Eso contrasta marcadamente con los impactos observados a raíz de la ley que inspiró la ley de California: el Reglamento Global de Protección de Datos, que entró en vigencia unos años antes en Europa y tuvo amplias ramificaciones globales.
Sin embargo, el impacto real puede no verse durante varios años, que se producirá a medida que más estados invoquen sus propias leyes de privacidad, lo que ejercerá más presión sobre los legisladores federales para que promulguen una ley nacional integral. Una ley nacional puede ser requerida por aquellos en la industria, así como por los organismos de control del consumidor, ya que simplificará el cumplimiento en lugar de tener una variedad de reglas que se aplican a cada estado.
¿Está preparado para CPRA y CCPA?
CookieHub es el cumplimiento de cookies simplificado: una plataforma de gestión de consentimiento con todas las funciones que tiene todo lo que necesita para cumplir con la CCPA, así como con una serie de otras reglas tanto en los Estados Unidos como en todo el mundo.