Aunque la mayoría de las personas que trabajan en el ámbito de la protección de datos han oído hablar del RGPD, la CCPA recibe mucha menos atención. Aprobada por la Legislatura del Estado de California, la CCPA intenta dar a los consumidores más control sobre sus datos personales.
La CCPA y el GDPR comparten muchas similitudes, ya que ambas leyes tienen como objetivo abordar los mismos problemas. A saber, las numerosas violaciones de datos personales de las principales corporaciones y la recopilación secreta de datos personales sin supervisión regulatoria.
En este artículo, exploraremos qué es la CCPA, a quién regula y cómo cumplirla. Por lo tanto, si es una empresa con conexiones en California, debe seguir leyendo.
¿Qué es la CCPA?
La Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés) fue redactada y aprobada por la Legislatura del Estado de California el 28 de junio de 2018. Esta ley histórica confiere a los consumidores de California muchos derechos de privacidad nuevos, que incluyen:
- Derecho a saber cuándo se están recopilando sus datos personales.
- El Derecho a Eliminar los datos personales que han sido recopilados.
- El derecho a excluirse de la venta de sus datos personales.
- El derecho a la no discriminación en el ejercicio de sus derechos en virtud de la CCPA.
Además, los consumidores californianos también tienen derecho a saber cuándo se venden sus datos personales y a quién, y pueden acceder a sus datos personales si así lo solicitan.
Para aquellos familiarizados con los conceptos básicos del GDPR, gran parte de lo anterior les resultará familiar. De hecho, el marco de los dos reglamentos es similar.
¿Cuáles son las diferencias entre la CCPA y el RGPD?
A diferencia del GDPR, la principal diferencia es que, mientras que el GDPR se aplica incluso a los residentes temporales, no ocurre lo mismo con la CCPA. Más bien, para calificar como un «consumidor californiano», una persona debe haber residido en el estado el tiempo suficiente para registrarse y pagar impuestos.
De lo contrario, no están cubiertos por esta protección legislativa.
¿Quién está obligado a cumplir con la CCPA?
Una vez más, a diferencia del GDPR, la CCPA se aplica exclusivamente a una empresa con fines de lucro que recopila y utiliza datos personales de los consumidores californianos. Para cumplir con esa definición, una empresa debe cumplir al menos uno de los siguientes umbrales:
- Ingresos brutos anuales superiores a 25 millones de dólares
- Recibir o divulgar los datos personales de 50,000 o más consumidores, hogares o dispositivos de California por año
- Obtener un 50% o más de ingresos anuales por la venta de datos personales de residentes de California
Dado que las organizaciones sin fines de lucro y las empresas más pequeñas no cumplen con estos umbrales, a menudo no necesitan cumplir con la CCPA. Esto es el polo opuesto a la UE, donde según el GDPR, todas las organizaciones que utilizan datos de ciudadanos de la UE deben cumplir (con algunas exenciones para empresas de menos de 250 empleados).
¿Las empresas ubicadas fuera de California deben cumplir?
Una de las principales controversias con el GDPR de la UE y el Reino Unido son los «efectos extraterritoriales». Eso significa que las empresas ubicadas fuera de la UE o el Reino Unido aún deben cumplir con el GDPR, siempre que atiendan a ciudadanos de la UE. Por ejemplo, un proveedor en línea en California debe seguir el RGPD al recopilar y utilizar datos de clientes de la UE.
Sin embargo, no es el caso contrario.
Actualmente, la CCPA solo rige a las empresas con fines de lucro establecidas en California o que califican indirectamente (como las empresas matrices y subsidiarias de empresas establecidas en California). Por lo tanto, cualquier organización ubicada fuera del estado no necesita estar de acuerdo con la CCPA.
¿Cómo define la CCPA los datos personales?
En virtud de la CCPA, los datos personales se definen en términos generales como:
«… información que identifique, se relacione, describa, pueda asociarse con, o pueda vincularse razonablemente, directa o indirectamente, con un consumidor u hogar en particular».
Eso incluye números de seguro social, números de licencia de conducir, historial de compras, identificadores personales únicos, nombre, dirección, números de teléfono y más.
Es una definición significativamente más amplia que se encuentra normalmente en las leyes de protección de datos, incluso en el RGPD de la UE.
Cómo cumplir con la CCPA
La CCPA es una legislación compleja con muchas facetas. Por lo tanto, es comprensible que muchas empresas californianas encuentren el cumplimiento confuso y problemático.
Sin embargo, eso no debería ser así.
El incumplimiento puede dar lugar a multas de hasta 2.500 dólares por infracción. Y las violaciones intencionales pueden resultar en multas de hasta $7,500 por infracción. Los consumidores también pueden demandar a las empresas por violaciones, recuperando daños de $100 a $750 por incidente o daños reales, lo que sea mayor. Eso sin considerar los costos indirectos para la reputación y el prestigio de una marca.
Por lo tanto, el cumplimiento es esencial. Estas son las principales formas de cumplir con la CCPA:
- Siempre informa a los consumidores sobre cómo y cuándo se manejan, utilizan o comparten sus datos personales.
- Reciba siempre el permiso de los consumidores antes de recopilar sus datos.
- Mantener una política de privacidad actualizada que se revise anualmente.
- Permitir que los consumidores accedan a sus datos.
- Permitir que los consumidores soliciten la eliminación de sus datos personales.
- Proporcionar una explicación completa a un consumidor sobre la CCPA y cómo regula sus derechos de privacidad de datos.
- Las empresas que venden datos personales deben establecer una página No vender mis datos personales.
Esta es una lista de verificación completa para ayudar a poner en marcha sus esfuerzos de cumplimiento. Sin embargo, no es exhaustivo. También hay paquetes de software disponibles que ayudan a respaldar el cumplimiento de la CCPA.
Y también puedes consultar la propia legislación aquí.
Conclusión
Al igual que otras leyes de protección de datos, como el RGPD, la CCPA regula la recopilación y el uso de datos personales. Actualmente está limitado solo a los residentes de California y no se aplica a las empresas situadas fuera de California.
Para estas empresas, garantizar la alineación de la CCPA es fundamental para evitar multas y daños a la reputación de una empresa.
Fuentes:
https://www.truevault.com/ccpa-guide/ccpa-enforcement-and-penalties
https://www.pacificdataintegrators.com/insights/ccpa-compliance
https://contractbook.com/blog/what-is-ccpa-and-how-do-you-become-compliant
https://www.oag.ca.gov/privacy/ccpa
https://en.wikipedia.org/wiki/California_Consumer_Privacy_Act
https://www2.deloitte.com/us/en/pages/advisory/articles/ccpa-compliance-readiness.html
https://www.cpomagazine.com/data-protection/ccpa-vs-gdpr-spot-the-difference/
https://www.oag.ca.gov/privacy/ccpa
https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5